Bugs do Peloton expõem redes corporativas a ataques de IoT

Views: 127
0 0
Read Time:5 Minute, 55 Second

As pessoas podem perder mais do que apenas quilos usando uma esteira Peloton, já que o equipamento de fitness conectado à Internet também pode vazar dados confidenciais ou representar um caminho de acesso inicial por meio de um ataque que compromete qualquer um dos três principais vetores de ataque, descobriu um pesquisador .

Pesquisadores da Check Point Software mergulharam fundo no popular equipamento Peloton Tread e descobriram que os invasores podem entrar no sistema – que é essencialmente um dispositivo de Internet das Coisas (IoT) – por meio do sistema operacional, aplicativos ou explorando APIs para carregar vários malwares .

Hackear um Peloton Tread através de qualquer um desses pontos pode levar à exposição não apenas dos dados pessoais de um usuário, mas os invasores também podem aproveitar a conectividade da máquina para se mover lateralmente para uma rede corporativa para montar um ransomware ou outro tipo de ataque de alto nível, os pesquisadores revelaram em um post de blog publicado esta semana.

“À medida que os entusiastas do fitness adotam a conveniência e conectividade dessas máquinas de treino avançadas, torna-se imperativo explorar suas vulnerabilidades potenciais”, de acordo com o post, atribuído a Augusto Morales da Check Point, líder de tecnologia para soluções de ameaças; Shlomi Feldman, gerenciamento de produtos, Quantum IoT Protect e SD-WAN; e Mitch Muro, gerente de marketing de produto, Quantum IoT Protect & Quantum Spark.

A marca de fitness Peloton é talvez mais conhecida por sua bicicleta ergométrica e aplicativos relacionados, que tiveram um aumento explosivo de popularidade durante a pandemia do COVID-19. A empresa também oferece o Peloton Tread, um dispositivo de esteira complementar que opera no sistema operacional Android, que foi o foco da investigação dos pesquisadores.

Os pesquisadores também identificaram uma falha anterior no sistema Peloton, que poderia permitir que invasores espionassem remotamente as vítimas por meio de uma API aberta não autenticada . De fato, sua mera existência como um dispositivo IoT expõe o equipamento de fitness doméstico às mesmas vulnerabilidades enfrentadas por qualquer dispositivo exposto à Internet e aos riscos potenciais para os usuários que os acompanham.

A Check Point alertou Peloton sobre as falhas que os pesquisadores descobriram. A empresa os avaliou e finalmente determinou que o acesso físico ao dispositivo era necessário para exploração, disse Peloton em um comunicado publicado pela Check Point.

“Revisamos os problemas relatados e determinamos que eles atendem às medidas de segurança esperadas para dispositivos baseados no Android”, disse Peloton.

Hackeando o sistema operacional Peloton

De fato, um aspecto que os pesquisadores disseram que torna o Peloton Tread vulnerável é o fato de ele rodar no Android, basicamente tornando-o tão vulnerável quanto qualquer dispositivo Android a falhas presentes no sistema operacional. Além do mais, o Peloton Tread está atualmente rodando cerca de três versões atrás do atual Android 13 – especificamente, no Android 10 com um número de compilação de QT.22082.A. Isso implica que “pode haver potencialmente mais de 1.100 vulnerabilidades apenas de 2022 e 2023 que teoricamente poderiam ser exploradas para comprometer essa esteira”, observaram os pesquisadores no post.

Além disso, um ator malicioso poderia ativar a depuração USB no sistema operacional do Peloton Tread e obter acesso ao shell, bem como obter uma lista de todos os pacotes instalados no sistema operacional, descobriram os pesquisadores.

Com o shell totalmente acessível, um agente de ameaça pode buscar qualquer aplicativo para análise posterior e/ou engenharia reversa e explorar falhas em aplicativos para aproveitar os binários incorporados para fazer movimentos laterais.

Explorando aplicativos

Com os aplicativos expostos, os invasores podem explorar quais usam a detecção de root para impedir que software não autorizado seja executado em hardware não aprovado. Embora esta seja uma medida de segurança básica, os invasores podem usar técnicas disponíveis publicamente para contornar a detecção de rooting para descobrir mais vulnerabilidades nos aplicativos e explorá-los para extrair segredos ou descobrir outras falhas de API no back-end.

Os pesquisadores compartilharam um exemplo de como uma chave de licença incluída no código de serviços incorporados de conversão de texto em fala foi exposta por meio de texto não criptografado, tornando-a disponível para possíveis abusos que poderiam resultar em um ataque de negação de serviço (DoS).

Os invasores também podem lançar um ataque de escalonamento de privilégios para obter acesso a dados pessoais, explorando qualquer um dos vários serviços desprotegidos que expõem aplicativos não pertencentes à Peloton em execução na plataforma. “Por exemplo, o malware pode explorar essa falta de controle de segurança para obter tokens”, escreveram os pesquisadores.

Além disso, criar um aplicativo malicioso para abusar dos receptores de transmissão pode colocar a máquina em um loop infinito que pode desativar os processos de atualização. “Isto impediria o gerenciamento de vulnerabilidades e a correção, fato que facilitaria manter a esteira sob o controle do agente malicioso”, observaram os pesquisadores.

APIs RAT-ting no ecossistema Android IoT

As APIs mencionadas acima que os invasores podem descobrir também podem ser exploradas por invasores para executar o código do Android, abrindo caminho para ações de rede nefastas que tiram proveito da natureza sempre ativa do dispositivo.

Além disso, os invasores podem usar as APIs para instalar malware que exploram a webcam e o microfone da máquina para ataques de espionagem. Na verdade, a equipe da Check Point comprometeu com sucesso o Peloton Tread dessa maneira, carregando uma ferramenta de acesso remoto móvel (MRAT) , “transformando-o efetivamente em um dispositivo IoT zumbi que pode ser controlado remotamente”, escreveram os pesquisadores.

Por meio do MRAT, os pesquisadores obtiveram acesso total às funcionalidades da esteira, podendo gravar áudio, tirar fotos, acessar a geolocalização e abusar da pilha de rede, disseram eles. Eles também puderam acessar a rede local (LAN) e capturar imagens, que compartilharam no post.

Ponto de entrada IoT insuspeito para a empresa

Outro aspecto perigoso de usar um Peloton como ponto de entrada para uma rede corporativa é que é altamente improvável que alguém suspeite que uma máquina de exercícios domésticos seja a fonte de comprometimento de uma rede de trabalho. Isso dá aos agentes mal-intencionados tempo suficiente para cobrir seus rastros, observaram os pesquisadores.

É especialmente importante para quem usa um Peloton onde outro dispositivo conectado à empresa está presente para implementar protocolos de segurança abrangentes em todos os dispositivos IoT , mesmo que não considerem isso um risco.

“Isso envolve obter uma compreensão completa dos componentes de software de seus dispositivos, incluindo sua esteira Peloton, e estar preparado para mitigar ataques cibernéticos usando métodos não padronizados”, escreveram os pesquisadores.

Do ponto de vista empresarial, os administradores de rede devem implementar soluções que protejam contra vulnerabilidades e ameaças a todos os dispositivos conectados à IoT, incluindo malware, botnets e ataques DDoS.

As soluções de visibilidade que monitoram as comunicações entre dispositivos IoT, tanto internos quanto externos, também podem ajudar administrando políticas de acesso de confiança zero que permitem apenas as comunicações necessárias para operações normais de IoT passarem e sinalizarem e bloquearem tentativas de conexão suspeitas.

FONTE: DARKREADING

POSTS RELACIONADOS