È un dato di fatto: qualsiasi dispositivo inserito all’interno di una rete internet domestica e accessibile da remoto può essere potenzialmente violato. E visto l’aumento vertiginoso e continuo degli oggetti connessi assisteremo sempre più spesso ad attacchi mirati verso oggetti cui non saremmo portati a pensare. Alla fine del 2019, il Red Team Mandiant di FireEye, in grado di testare, validare e migliorare continuamente le capacità di un programma di sicurezza informatica contro scenari di attacco del mondo reale, contribuendo a migliorare la posizione di sicurezza effettiva, ha rilevato una serie di vulnerabilità all’interno del dispositivo IoT ConnectPort X2e di Digi International. Un gateway programmabile che monitora il consumo energetico connettendosi e raccogliendo dati e letture di energia da un inverter solare residenziale.
La ricerca sul dipositivo IoT X2e SolarCity
Il Red Team imita i metodi di attacco attivi e furtivi di un vero attaccante, aiutando a valutare l’abilità del team di sicurezza di rilevare e rispondere a uno scenario di attacco in tempo reale. In questo caso, la ricerca di Mandiant si è concentrata sul dispositivo X2e utilizzato da SolarCity (ora di proprietà di Tesla) per raccogliere i dati negli impianti solari residenziali. La configurazione tipica prevede che SolarCity fornisca un gateway (e cioè il dispositivo X2e) all’utente finale e che tale dispositivo sia collegato sulla rete internet domestica dell’utente tramite un cavo Ethernet, così da inviare i dati sulla gestione dell’energia.
Mandiant ha lavorato indipendentemente con Digi International e Tesla per rimediare a due CVE (Common Vulnerabilities and Exposures vale a dire un elenco di record, ciascuno contenente un numero di identificazione, una descrizione e almeno un riferimento pubblico, per le vulnerabilità della sicurezza informatica note pubblicamente) che permettono di compromettere da remoto un dispositivo X2e. Si tratta di:
- Credenziali hardcoded (CVE-2020-9306, CVSS3.0: 8.8)
- Esecuzione con privilegi non necessari (CVE-2020-12878, CVSS3.0: 8.4)
Utilizzando tecniche di riconoscimento via rete, tecniche di ispezione del PCB, il debug fisico dell’interfaccia, le tecniche di chip-off e l’analisi del firmware, Mandiant è riuscita a compromettere da remoto il dispositivo X2e come utente non amministrativo grazie a delle credenziali hardcoded (CVE-2020-9306). Inoltre, Mandiant ha ottenuto una shell privilegiata a livello locale sul dispositivo utilizzando attacchi power glitching e ha sfruttato la vulnerabilità CVE-2020-12878 per effettuare una escalation dei privilegi da remoto e diventare amministratore (root).
Immagine fornita da Shutterstock.