MQTT-tjänster står oskyddade på internet

CERT-SE som är en del av Myndigheten för samhällsskydd och beredskap (MSB) går ut och varnar för att flertalet -tjänster står oskyddade direkt mot internet i Sverige.

Efter att på IT-säkerhetskonferenser såsom  och  berättat om MQTT-protokollet samt sökt av hela internet efter sårbara tjänster med masscan så var resultatet häpnadsväckande. Tusentals servrar stod helt vidöppna för vem som helst att ansluta till dessa och läsa av all information som flödade via dem (subscribe).

MQTT används som en realtids-förmedlare och är ett mycket lättviktigt protokoll vilket gör det lämpligt att användas för små enheter inom IoT () exempelvis.

Många tjänster använder också MQTT för att publicera data på webbsidor helt ofiltrerat vilket öppnar upp för olika typer av injektionsattacker såsom ().

Det finns en säkrare version av MQTT som använder TLS och går under benämningen secure-mqtt och använder TCP port 8883. Givetvis ger dmqttetta också en extra overhead och ökar antalet paket och paketstorleken.

Lucas har försett CERT-SE med datat från sina skanningar. Och myndigheten kan då konstatera att ingen av de oskyddade svenska servrarna tillhör CERT-SE:s prioriterade aktörer (myndigheter, kommuner och vissa företag).

Förutom MQTT så finns det andra protokoll som bör kontrolleras och som CERT-SE lyfter upp som möjliga orsaker till problem: , HTTP (REST/JSON), , och .

Här kan du ladda hem Lucas presentation som PDF:

mqtt defcon

 

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>