224 stycken svenska servrar använder en oskyddad version av IoT-protokollet MQTT, och ligger oskyddade på Internet. En eventuell angripare kan därmed komma åt känsliga data, styra system eller använda servern som bas för andra angrepp. Varningen kommer från MSB (Myndigheten för samhällsskydd och beredskap).
Det är säkerhetsforskaren Lucas Lundgren som upptäckt sårbarheten och uppmärksammat den på säkerhetskonferenser. MSB:s cybersäkerhetsavdelning Cert-SE går nu ut med en officiell varning grundad på Lucas Lundgrens uppgifter.
Vissa av servrarna tar ofiltrerat emot data som de sedan publicerar på webbservrar.
DETTA ÄR MQTT |
MQTT (Message Queuing Telemetry Transport) är ett lättviktigt prenumerationsprotokoll för realtidstrafik över tcp/ip. IBM och Eurotech släppte det fritt för användning år 2011. Protokollet är uttryckligen avsett för Internet of things. Tanken är att dessa ”things” ska kunna vara enkla och därför behöver lättviktiga protkoll. MQTT kan användas för att rapportera sensordata och för att skicka styrsignaler. En mäklare fungerar som mellanhand mellan sändare och mottagare så att dessa inte behöver synka sig med varandra. |
MSB har tjuvläst trafiken till MQTT-servrarna och hittar inga spår av att svenska myndigheter och kommuner använder dem. Detsamma gäller vissa företag som pressmeddelandet refererar till som ”prioriterade aktörer”. MSB kan dock inte utesluta möjligheten. Kanske slussas MQTT-meddelandena vidare till servrar som i sin tur används av svenska prioriterade aktörer?
MSB rekommenderar att du undersöker om någon av dina servrar använder MQTT. Se i så fall till att trafiken är skyddad och kräver autentisering, om den är känslig.
MQTT använder portnummer 1883 som standard. En säkrare version av MQTT, kallad Secure-MQTT, använder portnummer 8883.
MSB påpekar att det också kan finnas säkerhetsproblem med andra IoT-protokoll som OPC UA, JSON, CoAP, DDS och AMQP.
Enligt MSB förekommer det att företag glömmer att addera säkerhet när deras testsystem tas i skarp drift.
Bilden ovan är från MSB:s källa Lucas Lundgren vars föreläsning från konferensen Defcon du kan tanka hem här (länk).