Signify dicht beveiligingslek in Philips Hue Bridge 2.0

Signify heeft een firmware-update vrijgegeven voor de Bridge 2.0 van Philips Hue-verlichting. Een onderzoeksbedrijf schetst een scenario hoe een netwerk binnen te dringen was via de kwetsbaarheid.

Firmwareversie 1935144040 voor de Philips Hue Bridge 2.0 is vorige maand al verstrekt zonder verdere toelichting, maar beveiligingsbedrijf Check Point meldt nu dat met de release in ieder geval een kwetsbaarheid verholpen is.

Check Point demonstreert met een proof-of-concept hoe het lek te misbruiken is. Een aanvaller kan de bediening van een Hue-lamp overnemen om de gebruiker te laten denken dat een reset nodig is. Na het verwijderen van de lamp uit de app en het opnieuw toevoegen ervan, kan de aanvaller via de lamp met bijgewerkte firmware een heap-based buffer overflow-aanval via het ZigBee-protocol uitvoeren op de Philips Hue Bridge 2.0.

Dankzij de kwetsbaarheid is het mogelijk met deze aanval malware op de bridge te installeren. Dit kan de aanvaller in staat stellen verdere eventuele kwetsbaarheden binnen een netwerk te misbruiken om toegang te verkrijgen. Check Point noemt als voorbeeld, reeds gedichte, EternalBlue-lek in Windows.

Check Point meldde zijn bevindingen in november vorig jaar aan Signify. De kwetsbaarheid heeft het id CVE-2020-6007 gekregen.

Reacties (59)

Indoubt 5 februari 2020 19:25

begrijp ik goed dat de lamp wordt aangevallen via het zigbee protocol direkt?

Dan moet de aanvaller toch zo ongeveer in de tuin staan?

Ik draai ook wat zigbee dingen maar de hub heeft geen toegang tot internet. (Later misschien wel maar dan via een VPN)

sympa @Indoubt • 5 februari 2020 19:51

Ik las het als: de aanvaller laat je een lamp opnieuw koppelen, zet dat bij het koppelen nieuwe firmware op de lamp, en kan vervolgens via die firmware stoute dingen doen. Duidelijk is het niet echt.

Verwijderd @sympa • 5 februari 2020 20:49

De bron is gelukkig een stuk duidelijker:
the researchers were able to take control of a Hue lightbulb on a target network and install malicious firmware on it. From that point, they used the lightbulb as a platform to take over the bulbs’ control bridge, and attacked the target network as follows:

[list]
• The hacker controls the bulb’s color or brightness to trick users into thinking the bulb has a glitch. The bulb appears as ‘Unreachable’ in the user’s control app, so they will try to ‘reset’ it.
• The only way to reset the bulb is to delete it from the app, and then instruct the control bridge to re-discover the bulb.
• The bridge discovers the compromised bulb, and the user adds it back onto their network.
• The hacker-controlled bulb with updated firmware then uses the ZigBee protocol vulnerabilities to trigger a heap-based buffer overflow on the control bridge, by sending a large amount of data to it. This data also enables the hacker to install malware on the bridge – which is in turn connected to the target business or home network.
• The malware connects back to the hacker and using a known exploit (such as EternalBlue), they can infiltrate the target IP network from the bridge to spread ransomware or spyware.
[/list]

Het is dus: losse lamp overnemen, firmware van lamp overschrijven en lamp rare dingen laten doen zodat gebruiker deze reset (eerste stap die een helpdesk zou geven). Lamp wordt opnieuw toegevoegd aan de hub die deze ‘vertrouwd’. Lamp injecteerde nu exploit in hub en hackt hub. Hierna zou een hacker via een call-home (reverse Shell) toegang kunnen krijgen tot het interne netwerk.

Persoonlijk lijkt mij dit een heel klein risico gezien menselijke acties nodig zijn.

teek2

@Verwijderd • 5 februari 2020 23:07

Toch weer een argument om je IOT apparaten in een apart (guest?) netwerk te zetten. Wel een pain in de bottom helaas.

tweaknico @teek2 • 6 februari 2020 01:04

Helaas Zigbee protocol kent geen VLAN's... dat is voorbij de bridge. (vanuit de lamp gezien).

Core2016 @tweaknico • 6 februari 2020 02:55

Dan zet je het toch in een eigen, weet ik veel /26 subnet op een Untagged poort?
Niets aan het handje. Alles isoleren. Juiste firewall regels en een log op bijhouden.
Ik geloof niet dat er dan zoiets kan gebeuren, ofja de rommel naar je windows bak om maar iets te noemen.

[Reactie gewijzigd door Core2016 op 23 juli 2024 18:57]

tweaknico @Core2016 • 6 februari 2020 03:34

Je straalt de lamp via Zigbee aan en besmet de lamp, de lamp besmet de bridge...
(dat de bridge vervolgens niet naar buiten kan houdt het enigszins in de klauw....)
Maar de lamp en de bridge zijn dan wel besmet....

Core2016 @tweaknico • 6 februari 2020 03:37

Als dat is, dan lees je dat terug in de log en kan je actie ondernemen. Het klopt wat je zegt. Je moet wel vergaan eigenlijk haha.

kimborntobewild @Core2016 • 7 februari 2020 15:52

Dan zet je het toch in een eigen, weet ik veel /26 subnet op een Untagged poort?
Niets aan het handje. Alles isoleren. Juiste firewall regels en een log op bijhouden.

Geen enkele niet-Tweakert weet waar je 't over hebt... en als ik 't goed begrijp, wijst de post van tweaknico erop dat 't ook nog eens niet klopt?

Kan je nagaan: als een 'gewone' sterveling de boel zelf goed in moet gaan stellen om de boel veilig te houden: nee dus; dat gaat 'm never nooit niet worden. Fabrikanten van hard- en software moeten zelf de boel op orde hebben; en liefst vóórdat het uitgerold mag worden. Als je wacht totdat het publiek zelf de boel veilig kan afschermen, kan je wachten tot je een ons weegt.

Core2016 @kimborntobewild • 7 februari 2020 18:02

Daar hebben jullie echt helemaal gelijk in. Maar het kan. ;-)

TrekVogel @teek2 • 6 februari 2020 09:27

Dat valt toch wel mee? Ik heb een aparte SSID voor iot apparaten. Dat is een VLAN die geen WAN toegang heeft en nog een aantal andere restricties. Dat is niet super moeilijk om op te zetten.

kimborntobewild @TrekVogel • 7 februari 2020 15:54

Dat is niet super moeilijk om op te zetten.

Voor een niet-Tweakert is dat wel degelijk supermoeilijk. 't Lijkt erop dat veel tweakerts niet verder kunnen kijken dan hun eigen tuin...?

TrekVogel @kimborntobewild • 7 februari 2020 17:09

Tsja, we zitten hier wel op Tweakers.net natuurlijk. Het is niet denigrerend bedoeld. Er zijn genoeg dingen te vinden over iot in je gasten netwerk te zetten. Ik snap dat niet iedereen ook dat zal snappen, maar die mensen houden zich dan denk ik überhaupt niet met iot beveiliging bezig.

kimborntobewild @TrekVogel • 14 februari 2020 02:14

Tsja, we zitten hier wel op Tweakers.net natuurlijk.

Een oplossing is geen oplossing als alleen een zeer klein deel van de bevolking de oplossing kan uitvoeren.

Ik snap dat niet iedereen ook dat zal snappen, maar die mensen houden zich dan denk ik überhaupt niet met iot beveiliging bezig.

Het gaat ook nooit gebeuren dat de bulk van de gebruikers zelf genoeg kan om de boel goed te beveiligen. Het moet dus van regulering, controle en handhaving daarop komen; en daar ontbreekt het veel te veel aan.

gday

@TrekVogel • 7 februari 2020 23:23

Ik heb zelf een VLAN voor apparaten die met het internet moeten communiceren maar geen lokale toegang nodig hebben (Ring, Nest Thermostaat, etc) en een VLAN voor apparaten die lokale toegang nodig hebben maar geen internet (IP-camera’s).

sympa @Verwijderd • 5 februari 2020 21:12

En de lamp overnemen zou lokaal ("in de buurt") moeten gebeuren. Inderdaad, laag risico op massaal misbruik.

tweaknico @Verwijderd • 6 februari 2020 01:02

Je moet de lamp kunnen besmetten....
vb. Bluetooth is voor 10 meter.. maar je kunt er op tussen 1.5 en 2 Km mits de juiste antenne gebruikt wordt een apparaat beinvloeden. ("Blue Sniper rifle" )
https://www.tomsguide.com...niper-pt1,review-408.html
https://www.schneier.com/...5/04/bluetooth_snipe.html

Dat Zigbee slechts een paar meter is gaat uit van een Zigbee standaard antenne van een paar centimeter. Een voor Zigbee afgestemde Yagi antenne zou ook wel enkele 100'en meter kunnen overbruggen.

De menselijke acties kunnen ook veel later en de geinjecteerde code kan contact opnemen met een server...
Dus als iemand denkt "goh ik moet de lamp resetten" ben je binnen. mogelijk een paar dagen later...

Aanvulling: @sympa de afstand kan wel een wat groter zijn.

[Reactie gewijzigd door tweaknico op 23 juli 2024 18:57]

MSalters @tweaknico • 6 februari 2020 15:25

Niet alleen dat is een beperking; de nieuwe bridge firmware beperkt de range opzettelijk tot ~1 meter voor firmware updates.

tweaknico @MSalters • 6 februari 2020 15:26

Hoe wordt die afstand gemeten? met signaal sterkte? Niet met een meetlint.
Signaal sterkte is aan te passen.

MSalters @tweaknico • 6 februari 2020 15:35

Gokje: roundtrip time. De lichtsnelheid is niet aan te passen.

tweaknico @MSalters • 7 februari 2020 21:47

Dan heb je ook last van de snelheid van de CPU's in verschillende apparaten.
Roundtrip time is is maar voor een HEEL klein deel afhankelijk van afstand.
1 m = ~ 3.33 10^-9 = 3.33 ns. (het is iets langer... want er is geen vacuum)
Dat is een fractie van de RTT. 100Mbps netwerk is 10ms. voor 1% verschil in die tijd = 0.1ms kun je
300Km verder op zitten...
Dus een verschil van 1 - 10 m zal niet in de tijd meetbaar zijn. Signaal/Ruis verhouding is veel waarschijnlijker omdat de apparaten een zeer beperkt zend vermogen hebben. Maar ook dat is niet heel betrouwbaar en ook afhankelijk van veel andere factoren. [ andere signaal bronnen etc. ]

kuurtjes @Verwijderd • 6 februari 2020 09:00

Zelfde als met phishing mails rondsturen waarschijnlijk. Doe het 1000x automatisch en je hebt 1 iemand die het wel zal doen.

JustSomeWords @Indoubt • 5 februari 2020 20:21

Of op de stoep als ze buitenverlichting van Hue hebben

Erik1971

Philips

@JustSomeWords • 5 februari 2020 21:17

Overnemen van Hue lampen is sinds update van paar jaar terug niet meer zo makkelijk, omdat Hue lampen sindsdien alleen eerste half uur na inschakelen een (ander) netwerk kan joinen!

Erik1971

Philips

@Indoubt • 5 februari 2020 19:45

Dat is inderdaad de belangrijkste beperking, je moet in bereik van zigbee netwerk zijn, dus bij mensen voor de deur, dan is het waarschijnlijk makkelijker en aantrekkelijker om Wifi netwerk direct te hacken!

Indoubt @Erik1971 • 5 februari 2020 19:52

ja, maar als ze in de tuin staan is er al een ander probleem. Bovendien staan ze dan al op de (hardwired) camera's

ASS-Ware @Indoubt • 5 februari 2020 20:11

ja, maar als ze in de tuin staan is er al een ander probleem.

Waarom?
Als je je beveiliging niet op orde hebt, dan heb je een probleem.
In de tuin komen is bij de meeste huizen niet moeilijk, dat is geen beveiligings issue, maar het huis in kunnen komenis dat wel.

Indoubt @ASS-Ware • 5 februari 2020 20:27

Nou..

Ik heb net m'n bijl geslepen.

Here's Johnny!

(voor diegene die oud genoeg zijn om The Shining te hebben gezien en jong genoeg om het zich te herinneren)

To_Tall

@Indoubt • 5 februari 2020 19:41

Een lekke raspberry pi lekke Windows machine.

Malware op 1 van de devices. Noem het op. Die kunnen al zorgen dat weer een ander lek geëxploit kunnen worden.

Wom 5 februari 2020 19:17

Overigens is er al een nieuwere update dan Firmwareversie 1935144040. Kan het nummer zo snel niet opzoeken, maar kreeg deze week een melding van Hue-app dat er nieuwe update staat te wachten

MrTre @Wom • 5 februari 2020 20:30

Die versie is inderdaad ook van 13-1:

January 13, 2020
Firmware 1935144040 (Bridge V2)
We regularly update your Hue Bridge to improve the performance and reliability of the system.

Waarom Tweakers hier pas vandaag aandacht aan besteed is voor mij een raadsel.

ballo50 @MrTre • 5 februari 2020 22:01

Omdat Checkpoint vandaag pas deze bug wereldkundig heeft gemaakt. Checkpoint heeft het gemeld by Signify, deze heeft het opgelost met een firmware update en Checkpoint heeft gewacht totdat de firmware update kans heeft gehad om bij iedereen uit te rollen, voordat ze dit bericht naar buiten brachten...

Verwijderd @Wom • 5 februari 2020 19:36

Apart, bij mij is alles "up to date" volgens de app, maar de versie van mijn bridge is nog steeds 1935144040 d.d 14/01/2020

Sorcerer8472 @Verwijderd • 5 februari 2020 19:50

Same here, zelfde versie en ook na handmatige check geen update.

Wom @Sorcerer8472 • 5 februari 2020 19:53

Gek genoeg staat er voor mij ook geen update meer te wachten. Had de update laten uitstellen, maar nu zie ik niks meer.

Hopelijk ben ik niet de enige die deze melding gehad heeft?

Donstil @Verwijderd • 5 februari 2020 19:52

Hier is hij automatisch binnengekomen zie ik.
Heeft ook mijn probleem met controle buiten huis opgelost zie ik, dat was eerder deze maand kapot gegaan.

R-utger @Verwijderd • 5 februari 2020 20:08

Ik heb het zelfde, alleen dan van 13-01.
Ik verwacht dat dit gewoon de meest recente versie is.

iMars @Wom • 5 februari 2020 20:47

Volgens de website is dit de meest recente firmware:
https://www2.meethue.com/.../versie-informatie/bridge

Erik1971

Philips

5 februari 2020 19:30

Goed dat Signify deze lek serieus heeft genomen en heeft opgelost!

Heb even de moeite genomen om artikel van de hackers te lezen, de manier waarop ze de hack gebben gedaan is vrij omslachtig en zover ik begrijp alleen mogelijk met lampen die oudere firmware hebben, waarin de lamp exploit die ze al in 2016 hadden ontdekt nog niet is opgelost! Lampen hebben hier voor al sinds deze ontdekking meerdere updates gekregen!

En voordat mensen roepen dat dit met Ikea Tradfri niet kan, de exploids zaten in standaard ZigBee commando’s en manier van gebruik van deze commando’s, dus je mag aannemen dat meeste fabrikanten die ZigBee gebruiken hier last van hebben!
Alleen moet je per fabrikant en lamp hardware versie een aparte image maken, waardoor de waarschijnlijkheid dat dit serieus gebruikt gaat worden door hackers erg laag is!

Maar nogmaals dat Signify dit soort exploits netjes oplost, hoe onwaarschijnlijk het ook mag zijn dat een hacker deze methode gaat gebruiken!

L0g0ff

@Erik1971 • 5 februari 2020 19:53

Ik ben ook blij met de autoupdate van hue.

Ik dacht toch even checken maar al mijn devices zijn up-to-date. Ik had laatst een aan/uit schakelaar nodig om een normale lamp te kunnen koppelen aan de hue bridge. Ik heb toen toch net dat 10tje meer betaald aan hue ipv osram die ook prima compatible zou moeten zijn. Daar pluk ik nu (met zo'n auto update) weer de vruchten van.

jpsch 5 februari 2020 20:43

Blijkt maar weer eens dat de meest simpele apparaten (lamp, koffiezetapparaat, stofzuiger) wel degelijk een risico vormen voor je gehele thuisnetwerk.

Erik1971

Philips

@jpsch • 5 februari 2020 22:24

Als je ziet wat er nodig is aan handelingen om Hue systeem te hacken en feit dat Signify updates heeft uitgebracht, zou ik me voor Hue minder zorgen maken!

Maar vooral die goedkope smart apparaten die rechtstreeks uit China worden geïmporteerd zullen niet zo veilig zijn en ook niet snel worden ge-update, mocht er een exploid worden gevonden! Goedkope WiFi enabled smart apparaten, denk vooral aan camera's en slime deurbellen, zou ik niet zomaar in mijn net werk willen hangen!

TrekVogel @Erik1971 • 6 februari 2020 09:30

Zelf dure deurbellen zijn een groot risico, zie Ring.

gavinz 5 februari 2020 19:15

vind het toch knap hoe deze kwetsbaarheden gevonden worden.

sygys @gavinz • 6 februari 2020 07:56

Vraag me wel af hoe deze aanvaller in eerste instantie de bediening van de lamp kan overnemen... Volgens mij moet deze aanvaller dan wel op hetzelfde netwerk zitten... Als dat zo is dan gaat er veel eerder al iets mis in mijn ogen

[Reactie gewijzigd door sygys op 23 juli 2024 18:57]

ASS-Ware 5 februari 2020 20:15

Ik vraag me gelijk af hoe dit zit met andere apparaten die via Zigbee werken.

Erik1971

Philips

@ASS-Ware • 5 februari 2020 22:17

Vermoedelijk erger dan met Hue, want Signify is redelijk open in dit soort situaties en brengt ook de nodige updates uit!

Maar Hue is op dit moment grootste en bekendste smarthome fabrikant, verwacht dat Ikea volgende is die onderzocht zal worden omdat zij steeds meer marktaandeel verkrijgen!

ASS-Ware @Erik1971 • 5 februari 2020 22:25

Er is nog meer dan alleen lampen of home automation.
Mijn zonnepanelen, bijvoorbeeld, communiceren ook met een controller over Zigbee.
Ik had al een IOT Vlan, maar de zonnepaneel spullen heb ik nu maar even in een extra apart IOT vlannetje gezet.

Zwaai Haai 5 februari 2020 22:26

Ik lees nergens iets over oudere bridges, zat deze kwetsbaarheid ook in de oudere Bridge V1 ?

De laatste versie van de V1 is van November 28, 2019 Firmware 01043064 (Bridge V1)

commentator @Zwaai Haai • 6 februari 2020 07:56

of zit die er nog in en s het daarom dat deze in maart (of april?) van dit jaar helemaal geen ondersteuning meer krijgt?

Strebor

6 februari 2020 08:02

Ik begrijp dat de bridge een patch heeft hiertegen in de genoemde firmware. Maar hoe zit het nu met de lampen? Zijn die inmiddels met een firmware update beschermd tegen locale Zigbee hackers? Of is die kwetsbaarheid nog steeds aanwezig in de lamp?

@slendersnicky
Ik heb hue producten, die up-to-date zijn, maar sinds 2018 of medio 2019 geen update meer hebben gehad:
LWT013 - 1.46.13_r26312 - GU10 spotjes, laatste update 30/11/2018
LWB006 - 5.127.1.26420 - witte lampen, laatste update 08/12/2018
LTW001 - 5.127.1.26420 - warm white lamp, laatste update 08/12/2018
LCT024 - 1.46.13_r26312 - play lampen, laatste update 24/05/2019
RWL021 - 6.11.28573 - 4 knops dimmer, laatste update 10/10/2019

Ik vraag me dus af hoe het nu zit met de veiligheid van deze lampen.

[Reactie gewijzigd door Strebor op 23 juli 2024 18:57]

slendersnicky @Strebor • 6 februari 2020 08:49

Ik heb toevallig deze nacht een update binnengekregen voor mijn Hue lampen. ( de nieuwe Color gu10 lampen die ook BT hebben).
Nieuwe versie is 1.65.9_hB3217DF4
volgens release notes zijn er oa 'stability en security improvements'
staat een release datum van 04feb2020 bij

kimborntobewild @Strebor • 7 februari 2020 15:59

Ik vind het onwerkelijk aanvoelen, dat iets simpels als een lamp security-updates heeft... het voelt erg sterk aan alsof er in de basis (bijv. qua regelgeving, toezicht, ontwerp systemen, of whatever) compleet niet in orde is.

antonyv 6 februari 2020 09:02

Ik vraag me soms echt af, waar zijn we nou helemaal mee bezig met alles maar met wifi te doen en alles op internet koppelen?
Is dat nou echt allemaal nodig dan?

TrekVogel @antonyv • 6 februari 2020 09:40

Nee natuurlijk is het niet nodig, net zoals zoveel moderne gemakken. Maar daarom kan het nog wel leuk, handig of gemakkelijk zijn.

Veiligheid is altijd pas later een zorg.

kimborntobewild @TrekVogel • 7 februari 2020 16:16

Veiligheid is altijd pas later een zorg.

Net als bij kerncentrales (maar dat onderwerp is inhoudelijk verder natuurlijk ongelateerd), om te kunnen blijven roepen dat het goedkope energie is.

netmeester @antonyv • 6 februari 2020 09:47

Ik snap je punt, maar dat is hier niet van toepassing. De bridge heeft geen wifi, dus dat heb je in eigen hand. Daarbij kun je Hue prima gebruiken zonder een internetkoppeling.

Dat gezegd hebbende: Hue is een uitzondering, veel partijen doen het minder netjes en komen er bij mij niet in. Denk aan bijvoorbeeld Ring, Nest, 'connected' stofzuigers, streaming-apparaten waar een account voor nodig is etc. Onnodige accounts of onnodige verbinding met internet = onnodig risico.

Strebor

@antonyv • 6 februari 2020 10:09

In deze moderne tijden, vind ik het bijvoorbeeld bijzonder handig dat ik mijn huis met een druk op de knop kan laten doen alsof ik er ben, terwijl ik er dagen of weken niet ben. Het gemak met de verlichting gaat vele malen boven het ongemak van 'ouderwets' allemaal domme timers instellen op schemrlampjes en zo, die je een voor een weer moet weghalen of uitzetten als je thuis bent.

Dat is slechts een voorbeeld, net als het Nuki slot op mijn voordeur, waarmee ik op afstand kan zien wie mijn huis in gaat als ik er niet ben, en de werkster op bepaalde ochtenden toegang geef.

Kortom, voor het gemak, maar ook een beetje voor de tweaker in me.

Maar, er staat wel tegenover dat ik het allemaal redelijk secure heb ingericht (VLANS, WIFI groepen, firewalls, IP ranges) en ik absoluut niet zomaar een merk vertrouw. Er zijn vaak goede rapporten te vinden van wat een smartdevice allemaal doet in de achtergrond op jouw netwerk en het internet. Bovendien kijken ze ook vaak of er een microfoon of een camera inzit, etc. Als zo'n rapport me aanstaat wil ik best overwegen een smartdevice in huis te halen, OF JUIST NIET. Ook kan ik altijd rapporten opvragen van verbindingen die mijn smartdevices maken. Als er een verandering is kan ik dat zien en als nodig aanpakken.

Zo heb ik laatst besloten voorlopig geen cameradeurbel te nemen, totdat er een goede uitkomt, die enkel de beelden op Apple's Homekit video plaatst. Zo zal bijvoorbeeld het spionerende RING van Amazon er bij mij nooit inkomen. Die bewijzen keer op keer jouw privacy en je data veel te (commercieel) interessant te vinden. No thanks.

Op dit item kan niet meer gereageerd worden.

Signify dicht beveiligingslek in Philips Hue Bridge 2.0

Lees meer

Reacties (59)

Sorteer op:

Weergave: