Escrevi sobre como usar KVMs IP com segurança e, recentemente, pesquisadores do Eclypsium publicaram outro relatório sobre Vulnerabilidades IP KVM. Mas há outro problema que ainda não mencionei com IP KVMs: IP KVMs não autorizados. KVMs IP são frequentemente usados por criminosos. Por exemplo, os norte-coreanos usaram KVMs para se conectarem remotamente a laptops enviados a eles por seus empregadores. Os laptops estavam localizados nos EUA e os trabalhadores norte-coreanos usaram KVMs IP para conectar-se remotamente a eles. Os KVMs IP também podem ser usados para acessar PCs de escritório, seja para permitir “trabalhar em casa” não detectado ou por agentes de ameaças que os utilizam para obter acesso remoto após instalar o dispositivo no local.
Os KVMs IP geralmente se conectam ao sistema de duas maneiras:
- USB para teclado/mouse
- HDMI para conexão do monitor (algumas variantes mais antigas também podem usar VGA)
Para meus testes, usei dois KVMs IP diferentes. Um “PiKVM” e um “NanoKVM” (Sipeed). Ambos estavam conectados a sistemas Linux, mas as técnicas deveriam funcionar também em outros sistemas operacionais.
USB
Para o Sipeed NanoKVM, “lsusb” distribua o dispositivo:
$ lsusb
Barramento 001 Dispositivo 001: ID 1d6b:0002 Hub raiz do Linux Foundation 2.0
Barramento 001 Dispositivo 002: ID 0bda:c821 Realtek Semiconductor Corp. Rádio Bluetooth
Barramento 001 Dispositivo 004: ID 051d:0002 Fonte de alimentação ininterrupta de conversão de energia americana
Barramento 001 Dispositivo 005: ID 3346:1009 NanoKVM com lamelas
Barramento 002 Dispositivo 001: ID 1d6b:0003 Hub raiz do Linux Foundation 3.0
PiKVM é um pouco menos óbvio, mas esta entrada USB parece estar associada ao PiVKM
Bus 001 Device 004: ID 1d6b:0104 Linux Foundation Multifunction Composite Gadget
Bus 001 Device 017: ID 1b3f:2008 Generalplus Technology Inc. USB Audio Device
Isso precisa de mais testes para o PiKVM.
HDMI
Os dispositivos HDMI enviam “EDID” (Dados de identificação de display estendido) para o sistema ao qual o monitor está conectado. O principal objetivo do EDID é comunicar os modos e resoluções de vídeo disponíveis. Mas também inclui informações do fabricante.
Para o NanoKVM:
sudo get-edid | parse-edid
...
Section "Monitor"
Identifier "Connector"
ModelName "Connector"
VendorName "VCS"
...
Não é muito óbvio, mas o nome do fornecedor “VCS” pode ser um indicador razoável (verifique se há falsos positivos)
Para PiKVM, “Identified” e “ModelName” são mais reveladores:
Section "Monitor"
Identifier "PiKVM V3"
ModelName "PiKVM V3"
VendorName "LNX"
Evasão
É claro que um invasor mais sofisticado pode modificar essas strings. PiKVM oferece um arquivo de configuração para fazer isso, em parte para permitir melhor compatibilidade. Não sei se o NanoKVM oferece uma maneira simples e semelhante de evitar a detecção (mas provavelmente não é muito difícil). Portanto, “atacante sofisticado” pode ser traduzido como “capaz e disposto a ler o manual”.
Muitas soluções de proteção de endpoint monitoram dispositivos USB e podem alertar sobre a conexão de dispositivos estranhos. Mas não tenho conhecimento de nenhum que verifique as strings EDID do monitor. Este pode ser outro recurso interessante para qualquer solução. Em ambientes de escritório, a maioria das organizações oferece um conjunto limitado de tipos de monitores. Para uso em home office, as coisas podem ser mais complexas, pois os usuários geralmente conectam seus próprios monitores.
—
Johannes B. Ullrich, Ph.D. , Reitor de Pesquisa, SANS.edu
Twitter|
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.