Philips Hue-lampen te misbruiken om netwerk te kraken

Op CPX in Wenen toont Check Point hoe een aanvaller zich via een kwetsbaarheid in slimme lampen een weg kan banen naar bedrijfspc’s, om daar data te stelen of schade aan te richten.

IoT biedt een nieuwe vector voor hackers om bedrijfsnetwerken aan te vallen. Op CPX in Wenen toont beveiligingsspecialist Check Point wat dat precies betekent. Voor de demonstratie keek Check Point Research naar kwetsbaarheid CVE-2020-6007: een lek in Philips Hue-lampen waarbij een hacker het Zigbee-protocol kan misbruiken om een netwerk te infiltreren.

Halve patch

De kwetsbaarheid is al een tijdje geleden ontdekt maar kon door Signify slechts deels gepatcht worden. Het is niet meer mogelijk voor een aanvaller om via het lek met één besmette lamp andere lampen over te nemen, maar een enkele lamp infecteren met malware blijft wel een optie. Daarvoor moet de aanvaller wel op maximaal enkele honderden meters van de lamp zijn. De hacker kan die lamp vervolgens laten flikkeren, zodat de eigenaar denkt dat er iets scheelt. De fout ligt bij de implementatie van het Zigbee-protocol door Signify.

De logische reactie op een defecte lamp is een reset van het ding. Dat doe je door de lamp los te koppelen van de controlerende Bridge, en ze vervolgens opnieuw toe te voegen. Op dat moment beginnen de problemen echt. De Bridge is als hart van het Hue-netwerk via ethernet verbonden met de router. Op het moment dat je de lamp opnieuw toevoegt, kan een hacker een buffer overflow starten en via Zigbee malware installeren op de Bridge. Van daaruit heeft hij toegang tot het netwerk en kan hij gekende kwetsbaarheden misbruiken om andere verbonden toestellen aan te vallen.

Netwerksegmentering

IoT-toestellen zijn door hun aard niet zo eenvoudig te patchen. Bovendien nemen niet alle fabrikanten het even nauw met de beveiliging van de dingen. Een aanvaller die kwetsbaarheden misbruikt, vindt een dankbare vector naar andere, meer waardevolle toestellen op het netwerk. Precies daarom is het essentieel om een IoT-netwerk af te schermen van de rest van het IT-netwerk. Door slimme lampen en de bijhorende bridge op een ander netwerk te zetten dan bijvoorbeeld bedrijfspc’s, kan een aanvaller veel minder schade aanrichten.

Check Point heeft de details van de aanval overgemaakt aan Signify. Een patch werd intussen uitgerold om deze specifieke aanval onmogelijk te maken, maar het gaat eerder om het principe. We zijn kantoor uitrust met IoT-hardware, loopt altijd het risico dat een toestel als vector kan dienen voor een bredere aanval.

Lees ook ons stuk over hoe Signify lampen en licht wil gebruiken om een draadloos signaal te versturen: Internet via licht: hoe Signify het succes van zijn gloeilamp achterna jaagt