Джон П. Мелло младший
14 апреля 2021 г., 4:00 утра по тихоокеанскому времени
В понедельник исследователи безопасности выявили ряд недостатков в широко используемом протоколе сетевой связи, которые могут повлиять на миллионы устройств. .
Девять уязвимостей, обнаруженных Forescout Research Labs и JSOF Research, значительно увеличивают поверхность атаки как минимум 100 миллионов устройств Интернета вещей, подвергая их потенциальным атакам, которые могут отключить устройства или быть захвачены злоумышленниками.
«История показала, что управление устройствами Интернета вещей может быть эффективной тактикой для запуска DDoS-атак», — сказал Рохит Даманкар, вице-президент по продуктам анализа угроз компании Alert Logic, занимающейся безопасностью приложений и инфраструктуры в Хьюстоне.
«По мере того, как устройства IoT становятся богаче функциональными, они могут оказаться под контролем злоумышленника, как серверы или настольные компьютеры, и их можно будет использовать в качестве плацдарма для взломов предприятий», — сказал он TechNewsWorld. .
Название: Wreck, набор уязвимостей затрагивает четыре популярных стека TCP / IP — FreeBSD, Nucleus NET, IPnet и NetX.
Исследователи объяснили в блоге, что Nucleus NET является частью Nucleus RTOS, операционной системы реального времени, используемой более чем тремя миллиардами устройств, включая ультразвуковые аппараты, системы хранения данных, критические системы для авионики и другие.
FreeBSD, как отметили исследователи, широко используется высокопроизводительными серверами в миллионах ИТ-сетей, а также является основой для других хорошо известных проектов с открытым исходным кодом, таких как межсетевые экраны и несколько коммерческих сетевых устройств.
Они добавили, что NetX обычно работает под управлением ОСРВ ThreadX, которая в 2017 году развернулась 6,2 миллиарда и используется в медицинских устройствах, системах на кристалле и нескольких моделях принтеров.
«Организации здравоохранения и государственного сектора входят в тройку наиболее пострадавших по всем трем стекам», — пишут исследователи. «Если мы консервативно предположим, что один процент из более чем 10 миллиардов развертываний, описанных выше, является уязвимым, мы можем оценить, что по крайней мере 100 миллионов устройств затронуты Name: Wreck».
Содержание статьи
Мощный вектор атаки
Эксперты по безопасности сообщили TechNewsWorld, что атаки TCP / IP могут быть особенно мощными.
«TCP / IP — это программное обеспечение, которое фактически выполняет всю связь от устройства к другим системам», — пояснил Гэри Кингхорн, директор по маркетингу Tempered Networks, компании по микросегментации в Сиэтле.
«Если это сетевая атака — а не вставка флэш-накопителя в USB-порт — вы должны использовать TCP / IP», — сказал он. «Повреждение программного обеспечения TCP / IP для обнаружения уязвимостей или использование ошибок в конструкции является основой большинства атак».
Атаки на стек TCP / IP также могут обойти некоторые элементарные средства защиты.
«Каждый раз, когда у вас есть атака на TCP / IP, и вам не нужно имя пользователя или пароль, атаку легче осуществить», — заметил Дхаманкар.
«Уязвимости TCP / IP являются мощными, потому что их можно использовать удаленно через Интернет или в интрасети без необходимости подрывать другие механизмы безопасности, такие как аутентификация», — добавил Боб Баксли, технический директор Bastille Networks из Сан-Франциско, провайдер обнаружение угроз и безопасность для Интернета вещей.
Кроме того, после взлома устройства злоумышленник TCP / IP может получить бонус. «В большинстве случаев код стеков TCP / IP работает с высокими привилегиями, поэтому любая уязвимость выполнения кода позволит злоумышленнику получить значительные привилегии на устройстве», — сказал Асаф Карас, соучредитель и технический директор Vdoo, поставщика средств автоматизации безопасности. для встраиваемых устройств в Тель-Авиве, Израиль.
Проблемы исправления
Хотя некоторые из уязвимостей, выявленных исследователями, можно исправить, этот процесс может быть проблематичным.
Баксли отметил, что были выпущены исправления для FreeBSD, Nucleus NET и NetX.
«Для конечных устройств, использующих эти стеки, исправление теоретически возможно», — сказал он. «Но на практике многие уязвимые системы представляют собой устройства Интернета вещей, работающие под управлением операционных систем реального времени, которые не входят в обычный график исправлений и вряд ли получат исправления».
«Устройства Интернета вещей обычно обрабатываются с помощью подход «развернуть и забыть», и их часто заменяют только после того, как они вышли из строя или достигли конца своей работоспособности », — добавил Жан-Филипп Таггарт, старший исследователь безопасности в Malwarebytes.
«Это не очень эффективный подход», — сказал он TechNewsWorld.
Возраст может быть еще одной проблемой для устройств Интернета вещей. «Эти системы могут быть исправлены, но, как правило, это очень старые реализации, которые могут использоваться для сценариев, для которых они не были предусмотрены», — заметил Кингхорн.
«Они уязвимы из-за своей абсолютной сложности и неспособности легко идентифицировать риски», — продолжил он. «Чаще всего хакеры могут использовать их до того, как они будут исправлены».
«Всегда было очень трудно исправлять уязвимости Интернета вещей», — добавил Дхаманкар. «Достаточно сложно исправить уязвимости серверов и настольных компьютеров».
Тактика защиты
Даже без исправлений есть способы защитить сеть от эксплуататоров уязвимостей, обнаруженных исследователями Forescout и JSOF.
Баксли объяснил, что для использования уязвимостей Name: Wreck злоумышленник должен ответить на запрос DNS от целевого устройства поддельным пакетом, содержащим вредоносную полезную нагрузку. Для этого злоумышленнику потребуется сетевой доступ к целевому устройству.
«Хранение устройств, особенно устройств IoT, отделенных от Интернета и основных внутренних сетей, является одним из механизмов снижения риска заражения», — сказал он.
Мониторинг DNS также может помочь в защите от Name: Wreck. «Мониторинг активности DNS в среде и отметка любой активности внешнего DNS-сервера — хороший шаг», — заметил Дхаманкар.
«В целом, — добавил он, — DNS — отличный источник для отслеживания компромиссов с помощью аналитики безопасности».
Улучшенное управление доступом также может помешать злоумышленникам. «Если сама система не может быть исправлена, и это может иметь место в случае устаревших промышленных систем управления или других сетевых устройств OT и конечных точек IoT, важно убедиться, что сеть разрешает только безопасный, доверенный трафик на эти устройства», — сказал Кингхорн. объяснил.
«Здесь могут помочь проекты Zero Trust, гарантирующие, что только авторизованные устройства могут получить доступ к этим уязвимым системам», — продолжил он. «Это также может помочь в непрерывном мониторинге и анализе трафика на эти устройства, чтобы гарантировать, что потенциально вредоносный или подозрительный трафик не достигает их».
«Интернет вещей в целом является точкой доступа для безопасности», — добавил Крис Моралес. Директор по информационной безопасности компании Netenrich, поставщика услуг центра безопасности в Сан-Хосе, Калифорния
«Слабые пароли и жестко запрограммированные учетные записи пользователей, отсутствие исправлений и устаревшие компоненты — эти последние уязвимости — всего лишь еще одна проблема, связанная с отсутствием безопасности, которым является Интернет вещей», — сказал он TechNewsWorld. 
