На прошлой неделе статья была перепечатана во множестве СМИ по всему миру. Немедленно последовали и опровержения: и , с запросом комментариев у всех участников «креатива», и нестандартные. Компания Malwarebytes опубликовала с длинным заголовком «Как определить, что ваша зубная щетка используется в DDoS-атаке» и кратким содержанием «Нет, не используется». Эта безусловная небылица, впрочем, напоминает нам сразу про две регулярные темы в сфере ИБ: о критической небезопасности IoT-устройств (но не этих!) и о бессмысленной и беспощадной моде на подключение к Wi-Fi приборов, которые этого совершенно не требуют.
Для начала давайте разберемся, почему умные зубные щетки нельзя подключить к ботнету. Конкретная модель щеток, якобы попавших в ботнет, в статье не указывается. Вообще, единственная конкретная деталь, которая упоминается в статье, — что уязвимое ПО якобы написано на Java. В качестве иллюстрации для статьи на сайте Aargauer Zeitung используются щетки Oral-B IO, так что можно рассмотреть вопрос на их примере.
С помощью приложения на смартфоне они предлагают отслеживать качество чистки зубов. На сайте производителя прямо о том, что к смартфону щетки подключаются по Bluetooth. И нет, Bluetooth-устройства нельзя собрать в миллионный ботнет для проведения DDoS-атак. Существуют ли зубные щетки, напрямую подключенные к Интернету через Wi-Fi? Продаются ли они миллионными тиражами? Можно ли их взломать и построить из них ботнет?
В том, что рано или поздно умные щетки с Wi-Fi появятся, никто особо и не сомневался. Как раз недавно, на CES 2024, было такое устройство. Помимо прочего, оно снабжено «голосовым ИИ-помощником». Вполне возможно, что такие устройства могут быть уязвимы, как это уже было показано десятки раз. Проблема статьи в швейцарской газете не в невозможности данного сценария. Результаты исследований так не публикуются. Нужно показать хоть какие-то факты, которые могут быть проверены. Даже в случае серьезных уязвимостей, подробности о которых не раскрываются полностью, мы знаем модель устройства или название программы и даже конкретный уязвимый элемент. Здесь же ничего этого не было.
В изданию Bleeping Computer представители Fortinet сообщили, что произошло недопонимание, возникли трудности перевода. Гипотетическая ситуация была воспринята журналистами как реальность. Ситуацию прокомментировали и в редакции газеты. Там сообщили, что Fortinet видела текст статьи до публикации и имела возможность возразить, если их слова восприняли неправильно. Но не стала это делать.
C Fortinet на прошлой неделе связана и еще одна ИБ-новость, на сей раз настоящая. В решении для мониторинга сетевой и прочей активности FortiSIEM две серьезные уязвимости. Обе проблемы (CVE-2024-23108 и CVE-2024-23109) приводят к выполнению произвольного кода. Также на прошлой неделе американское госагентство CISA другую серьезную проблему в FortiOS в список активно эксплуатируемых. По данным СМИ, уязвимости в решениях компании, в том числе в VPN-сервере, были использованы в ряде успешных и масштабных кибератак.
Что еще произошло
В Канаде запретить продажи устройств Flipper Zero и «подобных ему» для борьбы с эпидемией угонов автомобилей. В подробном обзоре реальных возможностей Flipper Zero издание Ars Technica , что с его помощью нельзя провести распространенную атаку, когда сигнал от брелка автомобиля с системой бесключевого входа усиливается и позволяет разблокировать систему сигнализации. Равно как не получится взломать радиобрелки с переменным ключом. Возможность взломать что-либо с помощью Flipper Zero скорее говорит о низком уровне защищенности подверженных устройств и систем, а не об опасности инструмента.
История об уязвимостях в VPN-сервере Ivanti получила продолжение. Свежая уязвимость позволяет обойти систему аутентификации. Ее достаточно просто эксплуатировать. Хорошие новости в том, что, по данным производителя и в отличие от предыдущих проблем в Ivanti Connect Secure, эта дыра не эксплуатировалась на момент обнаружения.
Достаточно типичная, но все равно интересная история: исследователь проблему с легко подбираемыми паролями в роутерах одного интернет-провайдера в Венгрии.
Разработчики менеджера паролей Lastpass на прошлой неделе пользователей о наличии поддельного приложения Lastpass в магазине для устройств Apple App Store. Приложение было оперативно удалено, но не очень понятно, как оно вообще прошло обязательный набор проверок Apple.
