L’esperto di sicurezza Paul Marrapese ha scoperto due gravi vulnerabilità nel sistema P2P chiamato iLnkP2P che è stato sviluppato dalla società cinese Shenzhen Yunni Technology Company, Inc. Il sistema iLnkP2P consente agli utenti di connettersi da remoto ai propri dispositivi dell’internet delle cose (IoT) utilizzando un telefono cellulare o un PC.
I dispositivi IoT potenzialmente interessati includono videocamere e campanelli intelligenti.
Il sistema iLnkP2P è molto implementato in molti dispositivi IoT commercializzati da diversi fornitori, tra cui Hichip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight e HVCAM.
2 milioni di dispositivi vulnerabili
L’esperto ha identificato oltre 2 milioni di dispositivi vulnerabili esposti online, il 39% dei quali si trova in Cina, il 19% in Europa e il 7% negli Stati Uniti.
La prima vulnerabilità nel sistema iLnkP2P, tracciata come CVE-2019-11219, è una falla di enumerazione che potrebbe essere sfruttata da un utente malintenzionato per scoprire i dispositivi esposti online. La seconda falla, a cui è stato assegnato l’identificativo CVE-2019-11220, può essere sfruttata da un utente malintenzionato per intercettare le connessioni a dispositivi vulnerabili e condurre attacchi di tipo man-in-the-middle (MitM).
Un utente malintenzionato potrebbe concatenare le falle in un attacco da remoto per rubare password e potenzialmente compromettere i dispositivi, ma deve solo conoscere l’indirizzo IP del server P2P utilizzato dal dispositivo.
Marrapese ha anche messo appunto un PoC exploit (proof-of-concept) per dimostrare come sia possibile rubare le password dai dispositivi abusando della funzione “heartbeat” da essi incorporata. Ovviamente, il ricercatore non è intenzionato a rilasciare il codice per evitare che possa essere abusato da malintenzionati.
“Una volta connessi a una rete, i dispositivi iLnkP2P invieranno regolarmente un messaggio heartbeat o “here I am (sono qui)” ai loro server P2P pre-configurati e restano in attesa di ulteriori istruzioni.” ha riferito Brian Krebs.
“Un server P2P indirizzerà le richieste di connessione all’origine dell’ultimo messaggio heartbeat ricevuto “, ha spiegato Marrapese. “Semplicemente conoscendo un UID del dispositivo valido, è possibile che un utente malintenzionato emetta messaggi di heartbeat fraudolenti che sostituiranno quelli emessi dal dispositivo originale. Al momento della connessione, la maggior parte dei client tenterà immediatamente di autenticarsi come utente amministrativo fornendo le proprie credenziali in chiaro.”
L’esperto ha tentato di segnalare le falle ai venditori interessati sino dallo scorso gennaio, senza tuttavia ricevere mai risposta. Marrapese ha quindi segnalato le vulnerabilità al CERT Coordination Center (CERT / CC) presso l’Università Carnegie Mellon, il CERT cinese è stato anche informato della scoperta.
Non si può risolvere a breve il problema
La cattiva notizia è che non esiste una patch per risolvere entrambi i problemi e gli esperti ritengono che difficilmente possano essere rilasciate a breve,
“La natura di queste vulnerabilità ei rende estremamente difficili da risolvere”, ha scritto Marrapese. “Una soluzione software è improbabile a causa dell’impossibilità di cambiare gli UID del dispositivo, che vengono assegnati in modo permanente durante il processo di produzione. Inoltre, anche se sono state emesse patch software, la probabilità che la maggior parte degli utenti aggiorni il proprio firmware del dispositivo è bassa. Anche il richiamo dei dispositivi immessi sul mercato è una soluzione impraticabile a causa di notevoli problemi logistici. Consideriamo che l’azienda Shenzhen Yunni Technology fornisce i propri prodotti in white-labeling per un gran numero di aziende che li rivendono sotto il proprio brand”.
Marrapese suggerisce di non utilizzare i prodotti vulnerabili e di limitare l’accesso alla porta UDP 32100 per impedire connessioni esterne tramite P2P.
Il ricercatore ha pubblicato dettagli tecnici sulla sua scoperta qui.
