33 sikkerhedsfejl rammer millioner af IoT-enheder

ofcom credit
Gartner estimerer, at over 80 procent af alle organisationer i øjeblikket bruger Internet of Things i forretningsøjemed, og en ud af fem har været udsat for et alvorligt angreb i de sidste tre år. De fleste af disse virksomheder bruger udstyr, der er påvirket af mindst 33 nyopdagede sårbarheder, hvoraf de fleste sandsynligvis aldrig vil blive rettet på grund af forskellige årsager.

Tidligere i år fandt sikkerhedsforskere, at millioner af IoT- og overvågningsenheder drevet af HiSilicon-chips har en ikke-sikret bagdør (backdoor) ind i systemet, der sandsynligvis ikke vil blive løst inden for nær fremtid, da moderselskabet Huawei har meget lidt kontrol over tredjeparts firmwareimplementeringer.

I dag afslørede en ny rapport fra Forescout Research Labs, at en ny serie af sårbarheder vil påvirke enheder fra over 150 leverandører. Samlet kaldet "Amnesia: 33" påvirker fejlene fire open-source TCP / IP-stack, specifikt: uIP, picoTCP, FNET og Nut / Net. Langt den mest sårbare er uIP, som tilfældigvis bruges af de fleste leverandører på listen.

 ”The number of potentially impacted devices is huge, as it includes wearables, smartphones, game consoles, printers, routers, switches, IP cameras, uninterruptible power supplies, HVAC systems, self-checkout kiosks, ATMs, barcode readers, single-board computers like the Raspberry Pi, smart home appliances and sensors, servers, and many other consumer, enterprise, and industrial devices.”

Hvis de udnyttes, tillader de 33 sårbarheder angribere at udføre en bred vifte af ondsindede angreb såsom denial of service (DoS), remote aktivering af kode (RCE), DNS cache poisoning for at omdirigere til et ondsindet domæne og leak af information for at erhverve følsomme oplysninger.

Source: Forescout Technologies

 


Forescout-forskere havde tidligere afdækket 20 sårbarheder i Treck TCP / IP-stack med navnet Ripple20, som til sidst blev rettet af det Cincinnati-baserede softwarefirma.

Amnesia: 33-sårbarhederne påvirker imidlertid open source-biblioteker, der bruges i et utal af enheder fra en række forskellige virksomheder, hvilket gør dem meget sværere at rette. Fem af manglerne har eksisteret i 20 år, og mange af de berørte enheder bruger chips fra et stort økosystem af tredjeparts silicon leverandører, hvoraf mange tilbyder meget lidt dokumentation, og hvoraf nogle ikke længere er i drift.

Forescout har samarbejdet med det tyske cyberdefense agentur BSI, CERT Coordination Center, ICS-CERT, JPCERT og Department of Homeland Security's Cybersecurity and Infrastructure Security Agency for at koordinere alerts omkring Amnesia: 33.

I mellemtiden forklarer forskerlaboratoriet, at organisationer kan afbøde risici ved at patche, hvor det er muligt, overvåge for mistænkelige pakker, have tillid til interne DNS-servere, blokere eller deaktivere IPv6-trafik og segmentere for at minimere impact, hvis en enhed er kompromitteret. for at få adgang til et dybere niveau.

 

Source & Image credit:

OFCOM, Forescout Technologies, Informations age