Investigadores de seguridad de Check Point han descubierto una vulnerabilidad de alta gravedad en las bombillas inteligentes más vendidas del mercado, Philips Hue, y han mostrado como un atacante podría explotar una red IoT para lanzar ataques a redes informáticas convencionales.
En 2017, un equipo de académicos mostró cómo podían controlar las bombillas inteligentes y cómo esto a su vez les permitía crear una reacción en cadena que podía extenderse por una ciudad moderna. Su investigación planteó una pregunta interesante: ¿podrían los atacantes cerrar la brecha entre la red física de IoT (las bombillas) y atacar objetivos aún más atractivos, como la red informática en nuestros hogares, oficinas o incluso una ciudad inteligente?
La respuesta es que sí. Continuando la investigación de 2017, los especialistas estudiaron las bombillas inteligentes Philips Hue y encontraron vulnerabilidades (CVE-2020-6007) que les permitieron infiltrarse en las redes utilizando un exploit remoto en el protocolo inalámbrico de baja potencia ZigBee que se utiliza para controlar un amplia gama de dispositivos IoT. Pudieron instalar firmware malicioso y a partir de ahí atacaron la red objetivo de la siguiente manera:
- El pirata informático controla el color o el brillo de la bombilla para engañar a los usuarios haciéndoles creer que la bombilla tiene un problema técnico. La bombilla aparece como ‘Inalcanzable’ en la aplicación de control del usuario, por lo que intentarán ‘restablecerla’.
- La única forma de restablecer la bombilla es eliminarla de la aplicación y luego indicarle al puente de control que vuelva a descubrir la bombilla.
- El puente descubre la bombilla comprometida y el usuario la agrega nuevamente a su red.
- La bombilla ya controlada por piratas informáticos con firmware actualizado utiliza las vulnerabilidades del protocolo ZigBee para desencadenar un desbordamiento de búfer al enviarle una gran cantidad de datos. Estos datos también permiten al pirata informático instalar malware en el puente, que a su vez está conectado a la red comercial o doméstica objetivo.
- El malware se conecta de nuevo con el atacante utilizando un exploit conocido como EternalBlue que puede infiltrarse en la red IP de destino desde el puente para propagar ransomware o spyware.
La investigación se divulgó internamente a Philips y Signify (propietario de la marca Philips Hue) en noviembre de 2019. El proveedor confirmó la existencia de la vulnerabilidad en su producto y emitió una versión de firmware parcheada (Firmware 1935144040) que ahora está disponible en su sitio web. Se recomienda a los usuarios que se aseguren de que su producto ha recibido la actualización automática de esta versión.
En esta ocasión todo ha salido bien. Un grupo de seguridad descubre la vulnerabilidad, la comunica internamente y el proveedor la parchea sin exploits maliciosos conocidos que la hayan aprovechado. Sin embargo, el caso es una muestra de todo lo que falta por hacer para asegurar los miles de millones de dispositivos inteligentes que conforman el gigantesco segmento de la Internet de las Cosas.