В потоке новостей по информационной безопасности редко, но регулярно появляются либо просто странные, либо полностью выдуманные «исследования». На прошлой неделе широко обсуждался (в том числе на Хабре) совсем уж выдающийся пример воображаемой угрозы. Все началось с публикации в швейцарской газете Aargauer Zeitung еще в конце января. Со ссылкой на компанию Fortinet там рассказывалось о некоем ботнете из умных зубных щеток, который был использован для проведения успешной DDoS-атаки на неназванную компанию в Швейцарии.
На прошлой неделе статья была перепечатана во множестве СМИ по всему миру. Немедленно последовали и опровержения: и традиционные, с запросом комментариев у всех участников «креатива», и нестандартные. Компания Malwarebytes опубликовала статью с длинным заголовком «Как определить, что ваша зубная щетка используется в DDoS-атаке» и кратким содержанием «Нет, не используется». Эта безусловная небылица, впрочем, напоминает нам сразу про две регулярные темы в сфере ИБ: о критической небезопасности IoT-устройств (но не этих!) и о бессмысленной и беспощадной моде на подключение к Wi-Fi приборов, которые этого совершенно не требуют.
Для начала давайте разберемся, почему умные зубные щетки нельзя подключить к ботнету. Конкретная модель щеток, якобы попавших в ботнет, в статье не указывается. Вообще, единственная конкретная деталь, которая упоминается в статье, — что уязвимое ПО якобы написано на Java. В качестве иллюстрации для статьи на сайте Aargauer Zeitung используются щетки Oral-B IO, так что можно рассмотреть вопрос на их примере.
С помощью приложения на смартфоне они предлагают отслеживать качество чистки зубов. На сайте производителя прямо говорится о том, что к смартфону щетки подключаются по Bluetooth. И нет, Bluetooth-устройства нельзя собрать в миллионный ботнет для проведения DDoS-атак. Существуют ли зубные щетки, напрямую подключенные к Интернету через Wi-Fi? Продаются ли они миллионными тиражами? Можно ли их взломать и построить из них ботнет?
В том, что рано или поздно умные щетки с Wi-Fi появятся, никто особо и не сомневался. Как раз недавно, на CES 2024, было продемонстрировано такое устройство. Помимо прочего, оно снабжено «голосовым ИИ-помощником». Вполне возможно, что такие устройства могут быть уязвимы, как это уже было показано десятки раз. Проблема статьи в швейцарской газете не в невозможности данного сценария. Результаты исследований так не публикуются. Нужно показать хоть какие-то факты, которые могут быть проверены. Даже в случае серьезных уязвимостей, подробности о которых не раскрываются полностью, мы знаем модель устройства или название программы и даже конкретный уязвимый элемент. Здесь же ничего этого не было.
В комментарии изданию Bleeping Computer представители Fortinet сообщили, что произошло недопонимание, возникли трудности перевода. Гипотетическая ситуация была воспринята журналистами как реальность. Ситуацию прокомментировали и в редакции газеты. Там сообщили, что Fortinet видела текст статьи до публикации и имела возможность возразить, если их слова восприняли неправильно. Но не стала это делать.
C Fortinet на прошлой неделе связана и еще одна ИБ-новость, на сей раз настоящая. В решении для мониторинга сетевой и прочей активности FortiSIEM были закрыты две серьезные уязвимости. Обе проблемы (CVE-2024-23108 и CVE-2024-23109) приводят к выполнению произвольного кода. Также на прошлой неделе американское госагентство CISA добавило другую серьезную проблему в FortiOS в список активно эксплуатируемых. По данным СМИ, уязвимости в решениях компании, в том числе в VPN-сервере, были использованы в ряде успешных и масштабных кибератак.
В Канаде планируют запретить продажи устройств Flipper Zero и «подобных ему» для борьбы с эпидемией угонов автомобилей. В подробном обзоре реальных возможностей Flipper Zero издание Ars Technica отмечает, что с его помощью нельзя провести распространенную атаку, когда сигнал от брелка автомобиля с системой бесключевого входа усиливается и позволяет разблокировать систему сигнализации. Равно как не получится взломать радиобрелки с переменным ключом. Возможность взломать что-либо с помощью Flipper Zero скорее говорит о низком уровне защищенности подверженных устройств и систем, а не об опасности инструмента.
История прошлой недели об уязвимостях в VPN-сервере Ivanti получила продолжение. Свежая уязвимость CVE-2024-22024 позволяет обойти систему аутентификации. Ее достаточно просто эксплуатировать. Хорошие новости в том, что, по данным производителя и в отличие от предыдущих проблем в Ivanti Connect Secure, эта дыра не эксплуатировалась на момент обнаружения.
Достаточно типичная, но все равно интересная история: исследователь подробно описывает проблему с легко подбираемыми паролями в роутерах одного интернет-провайдера в Венгрии.
Разработчики менеджера паролей Lastpass на прошлой неделе предупреждали пользователей о наличии поддельного приложения Lastpass в магазине для устройств Apple App Store. Приложение было оперативно удалено, но не очень понятно, как оно вообще прошло обязательный набор проверок Apple.
На прошлой неделе статья была перепечатана во множестве СМИ по всему миру. Немедленно последовали и опровержения: и традиционные, с запросом комментариев у всех участников «креатива», и нестандартные. Компания Malwarebytes опубликовала статью с длинным заголовком «Как определить, что ваша зубная щетка используется в DDoS-атаке» и кратким содержанием «Нет, не используется». Эта безусловная небылица, впрочем, напоминает нам сразу про две регулярные темы в сфере ИБ: о критической небезопасности IoT-устройств (но не этих!) и о бессмысленной и беспощадной моде на подключение к Wi-Fi приборов, которые этого совершенно не требуют.
Для начала давайте разберемся, почему умные зубные щетки нельзя подключить к ботнету. Конкретная модель щеток, якобы попавших в ботнет, в статье не указывается. Вообще, единственная конкретная деталь, которая упоминается в статье, — что уязвимое ПО якобы написано на Java. В качестве иллюстрации для статьи на сайте Aargauer Zeitung используются щетки Oral-B IO, так что можно рассмотреть вопрос на их примере.
С помощью приложения на смартфоне они предлагают отслеживать качество чистки зубов. На сайте производителя прямо говорится о том, что к смартфону щетки подключаются по Bluetooth. И нет, Bluetooth-устройства нельзя собрать в миллионный ботнет для проведения DDoS-атак. Существуют ли зубные щетки, напрямую подключенные к Интернету через Wi-Fi? Продаются ли они миллионными тиражами? Можно ли их взломать и построить из них ботнет?
В том, что рано или поздно умные щетки с Wi-Fi появятся, никто особо и не сомневался. Как раз недавно, на CES 2024, было продемонстрировано такое устройство. Помимо прочего, оно снабжено «голосовым ИИ-помощником». Вполне возможно, что такие устройства могут быть уязвимы, как это уже было показано десятки раз. Проблема статьи в швейцарской газете не в невозможности данного сценария. Результаты исследований так не публикуются. Нужно показать хоть какие-то факты, которые могут быть проверены. Даже в случае серьезных уязвимостей, подробности о которых не раскрываются полностью, мы знаем модель устройства или название программы и даже конкретный уязвимый элемент. Здесь же ничего этого не было.
В комментарии изданию Bleeping Computer представители Fortinet сообщили, что произошло недопонимание, возникли трудности перевода. Гипотетическая ситуация была воспринята журналистами как реальность. Ситуацию прокомментировали и в редакции газеты. Там сообщили, что Fortinet видела текст статьи до публикации и имела возможность возразить, если их слова восприняли неправильно. Но не стала это делать.
C Fortinet на прошлой неделе связана и еще одна ИБ-новость, на сей раз настоящая. В решении для мониторинга сетевой и прочей активности FortiSIEM были закрыты две серьезные уязвимости. Обе проблемы (CVE-2024-23108 и CVE-2024-23109) приводят к выполнению произвольного кода. Также на прошлой неделе американское госагентство CISA добавило другую серьезную проблему в FortiOS в список активно эксплуатируемых. По данным СМИ, уязвимости в решениях компании, в том числе в VPN-сервере, были использованы в ряде успешных и масштабных кибератак.
Что еще произошло
В Канаде планируют запретить продажи устройств Flipper Zero и «подобных ему» для борьбы с эпидемией угонов автомобилей. В подробном обзоре реальных возможностей Flipper Zero издание Ars Technica отмечает, что с его помощью нельзя провести распространенную атаку, когда сигнал от брелка автомобиля с системой бесключевого входа усиливается и позволяет разблокировать систему сигнализации. Равно как не получится взломать радиобрелки с переменным ключом. Возможность взломать что-либо с помощью Flipper Zero скорее говорит о низком уровне защищенности подверженных устройств и систем, а не об опасности инструмента.
История прошлой недели об уязвимостях в VPN-сервере Ivanti получила продолжение. Свежая уязвимость CVE-2024-22024 позволяет обойти систему аутентификации. Ее достаточно просто эксплуатировать. Хорошие новости в том, что, по данным производителя и в отличие от предыдущих проблем в Ivanti Connect Secure, эта дыра не эксплуатировалась на момент обнаружения.
Достаточно типичная, но все равно интересная история: исследователь подробно описывает проблему с легко подбираемыми паролями в роутерах одного интернет-провайдера в Венгрии.
Разработчики менеджера паролей Lastpass на прошлой неделе предупреждали пользователей о наличии поддельного приложения Lastpass в магазине для устройств Apple App Store. Приложение было оперативно удалено, но не очень понятно, как оно вообще прошло обязательный набор проверок Apple.