Опасные уязвимости в миллионах IoT-устройств никогда не будут исправлены

Опасные уязвимости в миллионах IoT-устройств никогда не будут исправлены

Уязвимости под общим названием Amnesia:33 затрагивают миллионы устройств от 150 производителей.

Специализирующаяся на безопасности IoT-устройств компания Forescout обнаружила в интернет-протоколах с открытым исходным кодом 33 уязвимости, делающие миллионы встраиваемых устройств открытыми для кибератак, в том числе для перехвата информации, отказа в обслуживании и захвата полного контроля. В перечень затронутых устройств входят смарт-датчики «умного» дома, в том числе для управления освещением, сканеры штрих-кодов, промышленное сетевое оборудование и даже АСУ ТП. Их очень сложно, а то и вовсе невозможно обновить, и злоумышленники могут воспользоваться этими уязвимостями в качестве точки входа во множество сетей.

Обнаруженные исследователями уязвимости присутствуют в семи стеках открытых протоколов TCP/IP – наборах сетевых коммуникационных протоколов, устанавливающих соединение между устройствами и сетями, например, интернетом. По подсчетам специалистов, уязвимостям, получившим общее название Amnesia:33, подвержены миллионы устройств от 150 производителей.

Семь стеков имеют открытый исходный код и были модифицированы и переизданы во множествах различных форм. Пять из них используются уже около 20 лет, а еще два появились в 2013 году. То есть, в настоящее время существует множество версий и вариаций каждого стека без централизованного управления выпуском исправлений. Даже если бы такой механизм централизованной рассылки уведомлений существовал, производителям, включившим код в свои продукты, необходимо было бы заранее принимать соответствующие патчи конкретно для своей версии и реализации, а затем распространять их среди пользователей.

Что еще хуже, сами производители устройств далеко не всегда могут выпускать исправления, даже если бы захотели. Многие поставщики получают базовые функции, такие как стек TCP/IP, от «систем на кристалле» (SoC), предоставляемых сторонними производителями микросхем, которые также должны были бы участвовать в процессе выпуска патчей. Не факт, что у этих производителей вообще есть механизмы доставки исправлений. В некоторых случаях обнаруженные исследователями уязвимости в разных устройствах были связаны с производителем SoC, который обанкротился и ушел с рынка.

Часть обнаруженных уязвимостей представляют собой элементарные ошибки программирования, такие как отсутствие механизмов проверки входных данных, не позволяющих системе принимать проблемные значения или операции. Многие уязвимости – это уязвимости повреждения памяти, отсюда и название Amnesia:33. С их помощью злоумышленник может читать или добавлять данные в память устройства, извлекать информацию, выводить устройство из строя или брать его под контроль. Некоторые уязвимости также связаны с механизмами подключения к интернету, например с тем, как стек обрабатывает записи DNS и адресацию IP, например IPv4 и IPv6.


Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.