Exploit de Sistema de Automação de Edifícios Destaca Segurança KNX Novamente
Building Automation Systems are critical to the function of many modern buildings, but a recent attack that used a known exploit to take control of a Building Automation System highlights the need for better security for these systems.
Um esquema de exploração de um sistema de automação de construções (BAS) pode permitir que os invasores assumam o controle de dispositivos circuitados pelo protocolo KNX está sendo usado em ataques in-the-wild contra alvos comerciais, de acordo com um novo relatório da ESET.
Como é comum em outros esquemas de comprometimento de dispositivos industriais, este envolvimento também envolve a infecção de computadores pelo malware Ponyfinal, um RAT que geralmente é implantado em redes pelo backdoor CrimeBoss.
Os sistemas automatizados da construção podem incluir controladores para iluminação, sistemas de ar condicionado, aquecimento, ventilação e segurança, entre outras coisas. O protocolo KNX é o padrão para maquinário de automação da construção em mais de 140 países e é suportado por mais de 400 fabricantes.
O protocolo é definido e mantido pelo KNX Association e é geralmente considerado seguro, mesmo que não haja criptografia envolvida. No entanto, pesquisadores de segurança já demonstraram que é possível explotar vulnerabilidades para assumir o controle de dispositivos KNX.
Em 2015, por exemplo, a Guardicore Labs e a SektionEins divulgaram detalhes sobre um ataque que permitia que os invasores manipulassem de forma remota luzes connected à web, portas e outros dispositivos de automação da construção. Em 2017, a ESET também descreveu um esquema que usou o protocolo KNX para escrutinar o tráfego em redes e manipular o tráfego para obter acesso às máquinas alvo.
O esquema de comprometimento recentemente descrito pela ESET envolve a exploração de tickets de sessão inválidos, uma técnica que já foi documentada no passado. A vulnerabilidade afeta controladores de sistema de automação da construção, e um atacante pode usar o acesso para interagir com o dispositivo e obter informações sobre a rede, além de injetar comandos que podem ser executados pelo protocolo KNX.
Além do protocolo KNX, o Ponyfinal malware também interage com sistemas de automação para aquecimento e controle de clima Honeywell, Schneider Electric e Siemens.