donderdag 13 december 2018, 11:22 door Security.nl

Internet of Things-apparaten die voor het eerst online komen worden al binnen 5 minuten aangevallen. Dat stelt securitybedrijf Arbor Networks op basis van eigen data. Het Mirai-botnet en andere IoT-botnets hebben aangetoond dat IoT-apparaten een interessant doelwit voor cybercriminelen zijn.

IoT-apparaten worden nog altijd geleverd met standaardwachtwoorden die gebruikers niet hoeven te wijzigen, beschikken meestal niet over een automatische updatefunctie en zijn via allerlei diensten zoals Telnet toegankelijk. Arbor Networks heeft verschillende honeypots die zich voordoen als een IoT-apparaat. Een honeypot is een systeem dat opzettelijk is neergezet om te worden aangevallen, om zo aanvallers en hun tactieken in kaart te kunnen brengen.

De onderzoekers zagen dat de aanvallen die in de eerste minuten plaatsvinden nadat een apparaat online is gekomen vooral bruteforce-aanvallen zijn. Hierbij wordt geprobeerd om met standaardwachtwoorden op het apparaat in te loggen. Binnen 24 uur kregen dezelfde IoT-apparaten te maken met aanvallen waarbij werd geprobeerd om via bekende kwetsbaarheden binnen te komen.

Het gaat onder andere om vier kwetsbaarheden uit 201420152017 en 2018. Zo maakt de Mirai-malware gebruik van deze beveiligingslekken om IoT-apparaten te infecteren. Volgens Arbor Networks is het tempo waarin IoT-apparaten worden gepatcht zo langzaam, dat deze oude kwetsbaarheden nog steeds succesvol door IoT-botnets worden gebruikt.

Door het grote aantal IoT-apparaten op internet is het vinden van kwetsbare apparaten eenvoudig. Tel daarbij op dat IoT-apparaten bijna continu staan ingeschakeld en aanvallers kunnen in korte tijd een groot botnet opzetten. Deze botnets worden vervolgens voor het uitvoeren van ddos-aanvallen ingeschakeld. Doordat IoT-malware eenvoudig is aan te passen om nieuwe kwetsbaarheden aan te vallen verwacht Arbor Networks dat het aantal IoT-botnets volgend jaar verder zal toenemen.