Gli autori di botnet diventano sempre più efficaci nel superare le misure di protezone dei dispositivi IoT. Lo rivelano i dati rilasciati da Netscout Systems, azienda che fornisce servizi di business digitale contro interruzioni di disponibilità, performance e sicurezza. ottenuti dai propri sistemi honeypot.
A novembre 2018 honeypot ha registrato lo sfruttamento di numerose vulnerabilità IoT obsolete quale strumento di diffusione di malware.
Dai dati raccolti emerge che i nuovi dispositivi IoT subiscono in meno di un giorno il tentativo di fare leva sulle vulnerabilità note e sono soggetti in meno di 5 minuti a tentativi di accesso con forza bruta mediante le credenziali IoT predefinite.
Il ricorso alle vulnerabilità basate sull’IoT ha permesso agli autori di botnet di accrescere agevolmente la quantità di dispositivi nei rispettivi botnet.
Considerato l’enorme numero di dispositivi IoT collegati a Internet, è facile e immediato trovarne di vulnerabili per creare botnet che sono subito reclutati nell’esercito dei DDoS.
Un esempio lampante di questa situazione è costituito dalle innumerevoli varianti di Mirai che contenevano vulnerabilità specifiche dell’IoT.
Infatti, non occorrono sforzi titanici per creare botnet IoT di grandi dimensioni e, quindi, generare il caos come dimostrato dagli attacchi DDoS sferrati da Mirai nel 2016.
Dispositivi IoT vulnerabili in più fasi del loro ciclo di vita
Si nota una corrente costante di vulnerabilità correlate all’IoT sia nuove che datate rispetto agli honeypot esterni.
Peraltro, Netscout evidenzia tempistiche rapidissime tra il momento in cui una vulnerabilità viene resa nota a quello in cui gli autori di botnet la integrano nelle proprie reti botnet.
Sono due, secondo Netscout, i motivi fondamentali per cui i tentativi di sfruttare le vulnerabilità IoT meno recenti siano ancora frequenti.
In primo luogo, i dispositivi IoT possono restare “parcheggiati” negli scaffali per settimane prima di essere acquistati. Nel caso venga distribuita la release di un aggiornamento della sicurezza per tali dispositivi, chiaramente le nuove misure di sicurezza non entrano in funzione finché non si provvede all’aggiornamento del software.
Di conseguenza, il dispositivo appena messo in funzione è vulnerabile e al momento del collegamento, la vulnerabilità del dispositivo IoT può quindi essere sfruttata molto rapidamente.
I dati di honeypot mostrano che soltanto cinque minuti dopo il collegamento a Internet del dispositivo, qualcuno inizia a effettuarne la scansione e a tentare l’accesso con forza bruta.
Il secondo motivo è la lentezza sconfortante con cui i dispositivi IoT ricevono le patch.
Questi dispositivi, infatti, vengono considerati strumenti da azionare e abbandonare a sé stessi.
I dispositivi IoT prima o poi ricevono patch, ma non con la stessa rapidità né allo stesso livello di priorità di cui godono i sistemi operativi.
Poiché le patch per i dispositivi IoT vengono rilasciate a passo di lumaca, i botnet IoT continuano a fare leva sulle vulnerabilità meno recenti che permettono di mettere a segno un alto numero di attacchi.
Di conseguenza, la longevità e la sfruttabilità delle vulnerabilità basate sull’IoT sono di gran lunga più estese e allettanti per gli autori di botnet.