Certificado de dispositivo compartido - AWS IoT Device Defender
Detalles¿Por qué importa?Cómo solucionarlo

Certificado de dispositivo compartido

Varias conexiones simultáneas usan el mismo certificado X.509 para autenticarse con AWS IoT.

Esta comprobación aparece como DEVICE_CERTIFICATE_SHARED_CHECK en la CLI y la API.

Gravedad: crítica

Detalles

Cuando se realiza como parte de una auditoría bajo demanda, esta comprobación analiza los certificados y los ID de cliente utilizados por los dispositivos para conectarse durante los 31 días anteriores al inicio de la auditoría hasta 2 horas antes de la ejecución de la comprobación. Para las auditorías programadas, esta comprobación analiza los datos desde 2 horas antes de la última vez que se realizó la auditoría hasta 2 horas antes del momento en que comenzó esta instancia de la auditoría. Si ha tomado medidas para mitigar esta condición durante el periodo de la comprobación, observe cuándo se realizaron las conexiones simultáneas para determinar si el problema persiste.

Se devuelven los siguientes códigos de motivo cuando esta comprobación encuentra un certificado no conforme:

  • CERTIFICATE_SHARED_BY_MULTIPLE_DEVICES

Además, los resultados devueltos con esta comprobación incluyen el ID del certificado compartido, los ID de los clientes que usan el certificado para conectarse y los tiempos de conexión/desconexión. Se muestran primero los resultados más recientes.

¿Por qué importa?

Cada dispositivo debe tener un certificado único para autenticarse con AWS IoT. Cuando varios dispositivos utilizan el mismo certificado, esto podría indicar que un dispositivo ha sufrido un ataque. Puede que su identidad haya sido clonada para realizar nuevos ataques en el sistema.

Cómo solucionarlo

Compruebe que el certificado del dispositivo no ha sufrido un ataque. Si ha sido atacado, siga las prácticas recomendadas de seguridad para mitigar la situación.

Si utiliza el mismo certificado en varios dispositivos, es posible que desee:

  1. Aprovisionar nuevo certificados únicos y asociarlos a cada dispositivo.

  2. Verificar que los nuevos certificados sean válidos y que los dispositivos puedan usarlos para conectarse.

  3. Utilice UpdateCertificate para marcar el certificado antiguo como REVOCADO en AWS IoT. También puede utilizar acciones de mitigación para realizar las siguientes acciones:

    • Aplicar la acción de mitigación UPDATE_DEVICE_CERTIFICATE en los resultados de la auditoría para realizar este cambio.

    • Aplicar la acción de mitigación ADD_THINGS_TO_THING_GROUP para agregar el dispositivo a un grupo en el que puede tomar medidas.

    • Aplicar la acción de mitigación PUBLISH_FINDINGS_TO_SNS si desea implementar una respuesta personalizada en respuesta al mensaje de Amazon SNS.

    Para obtener más información, consulte Acciones de mitigación.

  4. Desvincular el certificado antiguo de cada uno de los dispositivos.