zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Enorme gebreken in veelgebruikte IoT-protocollen

11 december 2018 - Trend Micro waarschuwt organisaties hun operationele technologie-security (OT) nogmaals goed te checken. Dit omdat Trend Micro-onderzoekers aanzienlijke ontwerpfouten en kwetsbare implementaties hebben gevonden die zijn gerelateerd aan de twee populaire machine-to-machine-protocollen (M2M).

it zijn Message Queuing Telemetry Transport (MQTT) en Constrained Application Protocol (CoAP). Het nieuwe Trend Micro-rapport ‘The Fragility of Industrial IoT’s Data Backbone’, dat is opgesteld in samenwerking met Politecnico di Milano, geeft inzicht in de groeiende dreiging van industriële spionage, gerichte en denial-of-service-aanvallen waarbij deze protocollen misbruikt (kunnen) worden.


 In slechts vier maanden tijd hebben Trend Micro-onderzoekers meer dan 200 miljoen MQTT-berichten en meer dan negentien miljoen CoAP-berichten geïdentificeerd die gelekt zijn door kwetsbare brokers en servers. Door gebruik te maken van eenvoudige keyword-zoekopdrachten konden kwaadaardige aanvallers deze gelekte persoonlijke data lokaliseren om zo toegang te krijgen tot lucratieve informatie over assets, personeel en technologie die vervolgens misbruikt konden worden voor gerichte aanvallen.
 
Serieuze blik op OT-omgeving
"De problemen die we ontdekt hebben in twee van de de meest populaire messaging-protocollen die IoT-apparaten tegenwoordig gebruiken, zouden voor organisaties reden moeten zijn om nog eens een serieuze, holistische blik op hun OT-omgeving te werpen," zegt Greg Young, vice president of cybersecurity bij Trend Micro. "Bij het ontwikkelen van deze protocollen was security by design niet aan de orde. Toch zijn ze terug te vinden in een toenemend aantal bedrijfskritische omgevingen en toepassingen. Dit zorgt voor een serieus cybersecurity-risico. Zelfs hackers met zeer beperkte resources kunnen deze designfouten en kwetsbaarheden benutten om doelen te verkennen en gegevensdiefstal en denial-of-service-aanvallen te camoufleren."
 
Besturing op afstand
Het onderzoek laat zien hoe aanvallers op afstand IoT-endpoints kunnen besturen of services kunnen stoppen door misbruik te maken van security-issues in het ontwerp, de implementatie of het gebruik van apparaten die deze protocollen inzetten. Door misbruik te maken van specifieke functionaliteit in deze protocollen kunnen hackers bovendien toegang krijgen tot hun doel en zo verder doordringen in een netwerk.
 
Kwetsbaarheden
Het onderzoek heeft ook een aantal kwetsbaarheden blootgelegd die openbaar gemaakt zijn via het Zero Day Initiative (ZDI): CVE-2017-7653, CVE-2018-11615 en CVE-2018-17614. De laatstgenoemde is een voorbeeld van de impact die deze kwetsbaarheden kunnen veroorzaken; een out-of-bounds-instructie waarmee een aanvaller arbitraire code kan draaien op kwetsbare apparaten die een MQTT-client implementeren. Ondanks dat er geen nieuwe CoAP-kwetsbaarheden zijn gevonden, geeft het rapport aan dat CoAP op User Datagram Protocol gebaseerd is en een request-response-schema gebruikt waarmee het een prima fit heeft voor amplification-aanvallen.
 
Minimaliseer de risico's
Om de hoge risico’s die in het rapport beschreven staan te kunnen minimaliseren, moedigt Trend Micro organisaties aan om:
 
  • Goed beleid in te voeren om onnodige M2M-services te verwijderen.
  • Periodieke checks te doen en daarbij internet-wide scanning te gebruiken om ervoor te zorgen dat gevoelige data niet lekt via publieke IoT-diensten.
  • Een vulnerability management workflow te implementeren om de supply chain te beveiligen.
  • Up-to-date te blijven met industriestandaarden omdat deze technologie onderhevig is aan snelle ontwikkeling.
 
Lees het volledige rapport: ‘The Fragility of Industrial IoT’s Data Backbone’.
Bekijk ook de video: ‘Security and Privacy Issues in MQTT and CoAP Protocols’.

 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Creativiteit en fantasie versus AI
 Zwangere vrouw kent haar rechten op de werkvloer niet
 Helft Nederlanders kan op vakantie werk niet loslaten
 

Gerelateerde nieuwsitems

 Groot gebrek aan IoT security-besef
 CIO vreest voor omzetverlies door IoT-performanceproblemen
 Nieuwe IoT-malware verdrievoudigd in eerste helft 2018
 64 procent ervaart IoT-problemen door toenemende cloudcomplexiteit
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Leer in 2 dagen ontspannen en overtuigend te presenteren
Spreekangst wordt ontrafeld en geëlimineerd. Ruim 14.000 professionals volgden eerder de 'Sneltraining ‘Spreken in het openbaar’ van Pieter Frijters. Rebels, open en ‘out of the box’. Kijk op Spreek.nl of bel 0182 631 232.
Lees verder
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
Is uw volgende zakelijke leaseauto een Tesla?
reacties
Tesla wil meer geld ophalen (1) 
Generatie Z is het meest productief op een druk kantoor (1) 
Record aan kwetsbaarheden zorgt voor meer innovatie in cybersecurity (1) 
HR heeft nauwelijks invloed op de scholingsintentie van medewerkers (1) 
Werknemer neemt vrij voor ziek huisdier (1) 
Werven van nieuwe medewerker kost meer dan 4. 000 euro per persoon (1) 
Krapte arbeidsmarkt neemt verder toe (2) 
top10
Tja, je kunt natuurlijk alles wel relativeren!
Slecht functionerende collega’s grootste stoorzender op het werk
HR heeft nauwelijks invloed op de scholingsintentie van medewerkers
Generatie Z is het meest productief op een druk kantoor
Tempo Team, KPN en Pathé genomineerd voor Email Awards 2019
In Nederland solliciteren vooral flexibele, leergierige en nauwkeurige mensen
60’ers vaker inkomen, minder vaak uitkering of pensioen
Rijksoverheid heeft informatiebeveiliging en IT-beheer nog niet op orde
Aandachtspunten bij het ontwikkelen van visie
B2B-marketeers moeten koopgedrag bekijken om klanten te werven
meer top 10