Уязвимость стека TCP/IP угрожает устройствам IoT

На этой неделе компании Forescout и JSOF Research раскрыли ряд уязвимостей в стеке TCP/IP, используемом FreeBSD и тремя популярными операционными системами реального времени, предназначенными для Интернета вещей. Эти девять уязвимостей могут затронуть 100 миллионов устройств.

Nucleus NET, IPNet и NetX - другие операционные системы, затронутые уязвимостью, которая в совместном отчете, опубликованном компаниями Forescout и JSOF, названа Name:Wreck.

В отчете об уязвимости компания Forescout пишет, что стеки TCP/IP особенно уязвимы по нескольким причинам, включая их широкое распространение, тот факт, что многие такие стеки были созданы очень давно, а также то, что они создают привлекательную поверхность для атак. Благодаря неаутентифицированным возможностям и протоколам через сетевые границы

Система доменных имен страдает от многих из тех же проблем, которые могут быть использованы в случае с уязвимостью Name:Wreck.

"DNS - это сложный протокол, который часто приводит к уязвимым реализациям, которые могут быть использованы внешними злоумышленниками для одновременного контроля миллионов устройств", - говорится в отчете.

Имя: Wreck может привести к атакам типа "отказ в обслуживании" и удаленному выполнению кода и может быть вызвана некачественной практикой кодирования при разборе содержимого DNS-ответов, утверждает Эрик Хансельман, главный аналитик 451 Research. По сути, ключевые значения в системе, используемые для сжатия ответов DNS в более компактные и мобильные пакеты, не проверяются системой и могут быть использованы злоумышленниками.

"Сложность DNS-атак заключается в том, что DNS-ответ может содержать много информации", - говорит Хансельман. "Существует так много вариантов форматирования, что нередко в DNS-ответе возвращается много данных, и если вы не отслеживаете DNS-запросы и не разрешаете OpenDNS в своей среде, вам будет сложно отследить ответ, чтобы убедиться, что у вас есть статус для последующих действий".

Фактическая опасность, которой подвергается организация, зависит от используемого ею уязвимого стека. Дефект FreeBSD может быть более распространенным - он затрагивает миллионы ИТ-сетей, включая Netflix и Yahoo, - а также традиционное сетевое оборудование, такое как брандмауэры и маршрутизаторы, но может быть легче устраним, говорится в отчете.

"Это управляемые системы - мы должны иметь возможность их обновлять", - говорит Брайан Киме, старший аналитик Forrester. "И они должны быть приоритетными для исправления, поскольку являются частью вашего сетевого стека".

Во многих случаях это не относится к операционным системам реального времени, пострадавшим от Name:Wreck, поскольку проблемы со стандартами защиты IoT-устройств остаются. Возможность исправления и обновления прошивки все еще не является стандартной функцией, OEM-производитель подключенного устройства, скорее всего, очень старый, и, возможно, оно изначально не предназначалось для выхода в Интернет - оно может быть даже не функциональным.

По словам Хансельмана, поскольку эти IoT-устройства уязвимы для атак, надежная защита должна начинаться на сетевом уровне. Непосредственный мониторинг сети на предмет аномальной активности (что, опять же, иногда трудно обнаружить в случае уязвимостей TCP/IP) - это хорошее начало, но на самом деле необходимы такие технологии, как защита DNS-запросов.

"К счастью, мониторинг DNS стал более привычным для большинства организаций, поскольку DNS - один из лучших способов обнаружения вымогательского ПО", - говорит он. "Большинство организаций должны иметь разумную защиту от DNS-запросов".

Масштаб действия этих уязвимостей ограничен несколькими факторами, в том числе тем, имеют ли затронутые устройства прямой доступ к Интернету - что маловероятно в случае многих описанных медицинских устройств - и насколько они поддаются исправлению. Кроме того, стоит отметить, что на данный момент ни одна из этих уязвимостей не была использована в дикой природе. Однако одной из основных целей, за которой стоит следить, могут стать принтеры.

По словам Киме, принтеры очень доступны, поскольку они более или менее вездесущи и не привлекают особого внимания службы безопасности, а в случае компрометации они могут обеспечить вектор доступа к другим уязвимым устройствам в сети.

"Их уязвимости редко оцениваются, поэтому они используются субъектами угроз", - говорит он. "Я вижу, как злоумышленники используют уязвимости IoT в качестве средства защиты после того, как они воспользовались чем-то еще, чтобы проникнуть в среду".

Имя: Конечно, Wreck - далеко не единственный уродливый набор уязвимостей TCP/IP за последнее время. Только за последний год компании Forescout и JSOF обнаружили несколько подобных семейств уязвимостей, включая Ripple20, Amnesia:33 и Number:Jack, и эксперты сходятся во мнении, что в обозримом будущем их, скорее всего, будет обнаружено еще больше. С одной стороны, IP-стеков не так уж и много, а значит, многие IP-стеки используются в большом количестве приложений и, как правило, считаются безопасными.

"В этом случае каждый думает, что может взять IP-стек из своего любимого дистрибутива [открытого ПО], и он должен быть хорошо улучшен", - говорит Хансельман. "В большинстве случаев это так, но сетевой стек имеет дело с довольно сложным управлением состояниями, и могут быть неожиданные способы манипулирования ими".

X

Для заполнения данной формы включите JavaScript в браузере.
Введите данные о продукте, такие как конфигурация интерфейса, среда и т.д., а также другие специфические требования, чтобы получить точное предложение.

ru_RURussian
ru_RURussian en_USEnglish de_DEGerman es_ESSpanish it_ITItalian pt_PTPortuguese fr_FRFrench nl_NLDutch
Для заполнения данной формы включите JavaScript в браузере.
Введите данные о продукте, такие как конфигурация интерфейса, среда и т.д., а также другие специфические требования, чтобы получить точное предложение.