Обнаружена новая группа уязвимостей: в опасности 100 млн IoT-устройств

Проблема и потенциальные опасности

Новая группа уязвимостей Name:Wreck обнаружена в четырех TCP/IP-стеках, интегрирующих протоколы сетевой связи, чтобы соединять устройства с интернетом. Проблемы были выявлены в таких операционных системах, как Nucleus NET, поддерживаемая Siemens, и проект с открытым исходным кодом FreeBSD. Все они связаны с тем, как эти стеки реализуют систему доменных имен (DNS, Domain Name System).

Обнаруженные уязвимости позволяют злоумышленникам как отключить девайс от сети, так и получить над ним удаленный контроль. Это особенно опасно для критически важной инфраструктуры, сферы здравоохранения и производства. Атака на подключенное устройство или ИТ-сервер может нарушить работу всей системы или обеспечить возможность для более глубокого проникновения в сеть.

Для всех уязвимостей уже выпущены исправления. Однако это не значит, что проблемы устранены на реальных устройствах: многие из них работают на более старых версиях ПО. Некоторые производители не обеспечивают механизмы для обновления этого кода, а другие используют сторонний компонент, на котором он работает, а поэтому не могут его контролировать.

Причины проблем безопасности

По словам вице-президента по исследованиям Forescout Элизы Константе, в рамках проекта было проанализировано более 15 проприетарных и открытых TCP/IP-стеков. Оказалось, что все они обладают схожими слабыми местами. Как утверждает Константе, это упрощает анализ новых стеков и позволяет предупредить других исследователей и разработчиков о распространенных проблемах.

Исследователи еще не нашли следов реальных атак на новые типы уязвимостей. Но с учетом того, что это может затронуть сотни миллионов или даже миллиардов девайсов, такая незащищенность несет за собой глобальные последствия.

Директор по кибербезопасности Siemens в США Курт Джон сообщил изданию WIRED о том, что компания тесно сотрудничает с правительствами и промышленными партнерами с целью с целью снизить влияние этих уязвимостей.

Поиск проблем осуществлялся совместно с разработчиками патчей, Агентством по кибербезопасности и защите инфраструктуры Министерства внутренней безопасности США и прочими организациями, занимающимися отслеживанием уязвимостей.

Подобные случаи встречались и в других проприетарных и открытых TCP/IP-стеках. Такие ошибки довольно часто находят в сетевых протоколах. Причина в устаревшем коде, на основе которого развивались технологии: он не обновлялся в течение десятилетий.

По словам CEO компании по обеспечению безопасности Интернета вещей Red Balloon Security Анга Куи, устройства используют код, написанный 20 лет назад. Он работает, но не обеспечивает должного уровня безопасности при подключении к интернету. Куи утверждает, что это не удивительно: в то время люди рассматривали вопрос компьютерной безопасности совершенно по-другому.

Способы решения

Уязвимый код появляется снова и снова, а сфера безопасности все еще не может устранить эту проблему. По мнению соруководителя Open Crypto Audit Project Кенн Уайт, во многом это связано с отсутствием экономических стимулов, направленных на повышение качества устаревшего кода.

Но есть и хорошие новости.

• Хотя патчи для новых уязвимостей распространятся еще не скоро, они уже доступны.
• Снизить риск также помогут и другие временные решения: подключать как можно большее число устройств не напрямую к интернету, а с помощью внутреннего DNS-сервера для маршрутизации данных.
• По словам Константе из Forescout, атаки на эти уязвимости будут достаточно предсказуемы, что упростит их обнаружение.
• Forescout выпустила сценарий с открытым кодом, который поможет сетевым менеджерам выявлять потенциально уязвимые IoT-устройства и сервера в своих средах.
• Компания также поддерживает открытую библиотеку запросов к базам данных, которая пригодится исследователям и разработчикам для обнаружения схожих проблем, связанных с DNS.

По словам Константе, это широко распространенная проблема, которая касается различных видов устройств. Именно поэтому Forescout активно распространяет информацию об этом.

Источник.