Check Point Research (Israël), l’équipe dédiée aux renseignements sur les menaces de Check Point Software Technologies (Tel-Aviv), lève le voile sur des vulnérabilités qui permettraient à des pirates d’installer des ransomwares ou d’autres logiciels malveillants sur les réseaux des entreprises et des particuliers. Comment ? En prenant le contrôle d’ampoules intelligentes et de leur contrôleur.
Des chercheurs de Check Point ont montré comment des pirates peuvent exploiter un réseau d’objets connectés (en l’occurrence des ampoules intelligentes et leur passerelle de contrôle) pour lancer des attaques sur les réseaux informatiques classiques de particuliers, d’entreprises ou même de villes intelligentes. Les chercheurs se sont concentrés sur les ampoules intelligentes Philips Hue et leur contrôleur, et ont découvert des vulnérabilités (CVE-2020-6007) qui leur ont permis de s’infiltrer dans des réseaux, en exploitant une vulnérabilité à distance dans le protocole ZigBee.
Des chercheurs ont été en mesure de prendre le contrôle d’une ampoule Hue dans un réseau, d’y installer un micro-malware et de le propager à d’autres réseaux d’ampoules adjacents. En utilisant cette vulnérabilité, les chercheurs de Check Point ont décidé de pousser le bouchon un peu plus loin et ont utilisé l’ampoule Hue comme plateforme pour prendre le contrôle du contrôleur des ampoules et, finalement, d’attaquer le réseau informatique de la cible. Il convient de noter que les générations plus récentes d’ampoules Hue ne présentent pas cette vulnérabilité.
Voici le scénario de l’attaque :
- Un pirate contrôle la couleur ou la luminosité de l’ampoule pour faire croire à son utilisateur que l’ampoule a un problème. L’ampoule apparaît comme étant inaccessible dans l’application de contrôle de l’utilisateur, qui essaiera donc de la réinitialiser.
- La seule façon de réinitialiser l’ampoule est de la retirer de l’application, puis de demander à la passerelle de contrôle de la redécouvrir.
- La passerelle de contrôle découvre l’ampoule compromise, et l’utilisateur l’ajoute à son réseau.
- L’ampoule contrôlée par le pirate avec un microprogramme altéré utilise alors les vulnérabilités du protocole ZigBee pour déclencher un débordement de tampon dans la pile de la passerelle de contrôle, en lui envoyant une grande quantité de données. Ces données permettent également au pirate d’installer des logiciels malveillants sur la passerelle, qui est à son tour connectée au réseau de l’entreprise ou du domicile cible.
- Les logiciels malveillants se connectent à l’infrastructure du pirate et, grâce à l’exploitation d’une vulnérabilité connue (par ex. EternalBlue), ils peuvent s’infiltrer dans le réseau IP cible à partir de la passerelle pour diffuser des logiciels rançonneurs ou des logiciels espions.
« Il est essentiel que les entreprises et les particuliers se protègent contre ces attaques potentielles en mettant à jour leurs appareils avec les derniers correctifs, et en les séparant des autres appareils de leurs réseaux pour limiter la propagation d’éventuels logiciels malveillants, souligne Yaniv Balmas, responsable de la recherche chez Check Point Research. Dans le paysage complexe des attaques de 5e génération, nous ne pouvons pas nous permettre de négliger la sécurité de tout ce qui est connecté à nos réseaux. »
L’étude réalisée avec l’aide de l’Institut Check Point pour la sécurité de l’information de l’Université de Tel-Aviv, a été communiquée à Philips et Signify (le propriétaire de la marque Philips Hue). Signify a confirmé l’existence de la vulnérabilité dans ses produits, et a publié une version corrigée du microprogramme qui est désormais disponible via une mise à jour automatique.