Специалисты SonicWall предупредили о волне атака на умные системы контроля доступа в зданиях, которые злоумышленники затем используют для организации DDoS-атак.
Исследователи объясняют, что атаки направлены на устройства Linear eMerge E3, производства компании Nortek Security & Control. Это так называемые «аппаратные средства контроля доступа», которые устанавливаются офисах, на заводах и так далее. Их основная цель — контролировать, к каким дверям и комнатам сотрудники и посетители могут иметь доступ, основываясь на их учетных данных (кодах доступа) и смарт-картах.
Еще в мае прошлого года эксперты из компании Applied Risk раскрыли детали о десяти уязвимостях, затрагивающих девайсы Linear eMerge E3. Хотя шесть из десяти проблем получили 9,8 из 10 максимальных баллов по шкале CVSS3, разработчики так и не выпустили исправлений для этих багов. В итоге, выждав достаточно времени, в ноябре 2019 года специалисты Applied Risk опубликовали PoC-эксплоиты в открытом доступе.
Теперь исследователи SonicWall предостерегают, что хакеры ищут уязвимые устройства Linear eMerge E3 и эксплуатируют против них одну из десяти ранее найденных уязвимостей: CVE-2019-7256 . Эту проблема описывается как баг, допускающий инъекции команд, и она была одной из двух уязвимостей получивших 10 из 10 баллов по шкале CVSS3. Это означает, что баг может быть использован удаленно, даже низкоквалифицированными злоумышленниками, не обладающими глубокими техническими знаниями.
В SonicWall объясняют, что удаленный злоумышленник, не прошедший аутентификацию, может использовать проблему для выполнения произвольных команд в контексте приложения через специально созданный HTTP-запрос. В настоящее время хакеры использую баг для захвата контроля над устройствами, загрузки и установки малвари и последующих DDoS-атак. по данным SonicWall, в сети доступно порядка 2375 уязвимых устройств, если полагаться на статистику Shodan.
Первые атаки были зафиксированы 9 января 2020 года, и были замечены компанией Bad Packets, и с тех пор они продолжаются.
CVE-2019-7256 is actively being exploited by DDoS botnet operators.
— Bad Packets Report (@bad_packets) January 10, 2020
This unauthenticated remote command injection vulnerability affects Linear eMerge E3 access control systems running firmware versions 1.00-06 and older.https://t.co/5VQbJshH6l#threatintel
Также исследователи предупреждают, что помимо DDoS-атак уязвимые устройства могут быть использованы в качестве точек входа во внутренние сети организаций. Системным администраторам настоятельно рекомендуется отключить уязвимые девайсы от интернета или ограничить доступ к ним с помощью брандмауэра и VPN.