Certificado de dispositivo compartilhado - AWS IoT Device Defender
DetalhesPor que isso importa?Como corrigir

Certificado de dispositivo compartilhado

Várias conexões simultâneas usando o mesmo certificado X.509 para ser autenticadas com a AWS IoT.

Essa verificação aparece como DEVICE_CERTIFICATE_SHARED_CHECK na CLI e na API.

Gravidade: Crítica

Detalhes

Quando executada como parte de uma auditoria sob demanda, essa verificação examina os certificados e os IDs de clientes que foram usados pelos dispositivos para se conectar durante os 31 dias anteriores ao início da auditoria, até 2 horas antes da execução da verificação. Para auditorias programadas, essa verificação examina os dados de 2 horas antes da última vez em que a auditoria foi executada até 2 horas antes do início dessa instância da auditoria. Se você tiver tomado medidas para atenuar essa condição durante a verificação, observe quando as conexões simultâneas foram estabelecidas para determinar se o problema persiste.

Os códigos de motivo a seguir são retornados quando essa verificação encontra um certificado não compatível:

  • CERTIFICATE_SHARED_BY_MULTIPLE_DEVICES

Além disso, as descobertas retornadas por essa verificação incluem o ID do certificado compartilhado, os IDs dos clientes que usam o certificado para se conectar e os horários de conexão/desconexão. Os resultados mais recentes são listados primeiro.

Por que isso importa?

Cada dispositivo deve ter um certificado exclusivo para se autenticar na AWS IoT. Se vários dispositivos usam o mesmo certificado, isso pode indicar que um dispositivo foi comprometido. A sua identidade pode ter sido clonada para comprometer ainda mais o sistema.

Como corrigir

Verifique se o certificado de dispositivo não foi comprometido. Se foi, siga as práticas recomendadas de segurança para atenuar a situação.

Se estiver usando o mesmo certificado em vários dispositivos, você poderá:

  1. Provisionar novos certificados exclusivos e anexá-los a cada dispositivo.

  2. Verificar se os novos certificados são válidos e se os dispositivos podem usá-los para se conectar.

  3. Use UpdateCertificate para marcar o certificado antigo como REVOKED no AWS IoT. Você também pode usar ações de mitigação para fazer o seguinte:

    • Aplicar a ação de mitigação UPDATE_DEVICE_CERTIFICATE em suas descobertas de auditoria para fazer essa mudança.

    • Aplicar a ação de mitigação ADD_THINGS_TO_THING_GROUP para adicionar o dispositivo a um grupo, onde é possível executar uma ação sobre ele.

    • Aplicar a ação de mitigação PUBLISH_FINDINGS_TO_SNS se você desejar implementar uma resposta personalizada em resposta à mensagem do Amazon SNS.

    Para ter mais informações, consulte Ações de mitigação.

  4. Desanexe o antigo certificado de todos os dispositivos.