Исследователи обнаружили непоправимую брешь в безопасности, затрагивающую миллионы устройств умного дома

Дядя Влад

В новом техническом документе от исследователей из компании Forescout, занимающейся корпоративной безопасностью, обнаружена уязвимость, которая потенциально затрагивает миллионы подключенных устройств.

Проблема связана с уязвимостями нулевого дня в четырех широко используемых библиотеках кода TCP / IP с открытым исходным кодом.

Амнезия: 33 может быть трудно забыть

Команда, создавшая технический документ, назвала эту уязвимость Amnesia: 33 и подробно описала каждую проблему в техническом документе, доступном на сайте Forescout [PDF] .

По оценкам Forescout, брешь в системе безопасности затрагивает более 150 поставщиков подключенных устройств по всему миру. Потенциально уязвимы миллионы устройств, от умных домашних устройств до устройств Интернета вещей (IoT), используемых в промышленных условиях.

У этой уязвимости есть несколько потенциальных способов воздействия на различные устройства, как указано в техническом документе:

  • Удаленное выполнение кода (RCE) для управления целевым устройством
  • Отказ в обслуживании (DoS) для нарушения функциональности и воздействия на бизнес-операции
  • Утечка информации (Infoleak) для получения потенциально конфиденциальной информации
  • Отравление кеша DNS для направления устройства на вредоносный веб-сайт

Любой из этих вариантов атаки может нанести ущерб системе, и устранение бреши не будет легкой задачей.

Широко распространенные риски и последствия

Это далеко не первый случай, когда подключенные системы обнаруживают недостатки, и некоторые даже задаются вопросом, могут ли такие устройства, как Ring, сделать ваш дом менее безопасным, чем традиционные автономные устройства безопасности. Несмотря на то, что до сих пор нет задокументированных атак в результате этой уязвимости, команда Forescout обрисовала в общих чертах некоторые вероятные сценарии атак.

Используемый сетевой стек присутствует в огромном количестве подключенных устройств, включая интеллектуальные розетки и датчики температуры, которые могут повлиять на домашних пользователей, но будут иметь гораздо более ужасные последствия в общественных местах.

Например, в медицинских учреждениях злоумышленник может получить доступ к сети и вызвать хаос, потенциально повлияв на температурную систему, подключенные замки или вызвать ложную пожарную тревогу. В розничной торговле подключенные датчики температуры являются частым слабым местом, и, оказавшись в сети, хакер может отключить весь магазин, что может сделать многие магазины неспособными совершать транзакции или контролировать запасы.

Конечно, это наихудшие сценарии, но, как и в случае со всеми техническими документами по безопасности: если Forescout подумал об этом, то, вероятно, кто-то со злым умыслом тоже.

Почему это не исправить?

Библиотеки кода в центре Amnesia: 33 являются фундаментальными строительными блоками многих сетевых устройств. Все они имеют открытый исходный код, что означает, что они свободно доступны для использования или изменения разработчиками.

Даже если все эти библиотеки кода обновлены, характер использования свободно доступного кода приводит к созданию ремикшированных библиотек, уникальных реализаций и больших областей кодовых баз с потенциально вредоносным кодом.

На данном этапе единственный способ исправить это – взять на себя индивидуальную ответственность компаний и оценить свои программные реализации вплоть до «голого железа».

Даже если большинство производителей относятся к этому серьезно, я сомневаюсь, что это последнее, что мы слышим об Amnesia: 33.