`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Amnesia:33 — комплект дыр в прошивке миллионов подключенных устройств

9 декабря 2020 г., 14:05
0 
 

Amnesia:33 — комплект дыр в прошивке миллионов подключенных устройств

По следам открытия в прошлом году серии уязвимостей Ripple20 в программном обеспечении Treck, реализующем поддержку TCP/IP, группа исследователей Forescout обнаружила ещё более масштабные проблемы с безопасностью в других открытых стеках TCP/IP.

Экспертам удалось выявить в общей сложности 33 дефекта в четырёх из семи изученных ими открытых библиотек. Это ПО — uIP, FNET, picoTCP и Nut/Net — входит в состав программной прошивки разнообразного оборудования от более полутора сотен производителей, выпускавшегося на протяжении двух десятилетий.

По самым скромным оценкам, пакет уязвимостей, получивший название Amnesia:33, ставит под угрозу безопасность миллионов потребительских и промышленных устройств: смартфонов, игровых консолей, датчиков, систем-на чипе, принтеров, маршрутизаторов, ИБП и пр.

Представительный набор уязвимостей открывает перед киберпреступниками широчайшие возможности организации атак, таких как: удалённое выполнение кода (RCE) — для захвата контроля над устройством; отказ в предоставлении сервиса (DoS) — для нарушения работы бизнеса; утечка информации (infoleak) — для кражи конфиденциальных данных; отравление кэша DNS — для перенаправления веб-запросов на мошеннические сайты.

Использовавшаяся для выявления багов Amnesia:30 комбинация методов автоматизированного (фаззинг) и ручного анализа кода не нашла никаких ошибок в библиотеках lwIP, uC/TCP-IP и CycloneTCP.

Как и с Ripple20, в случае Amnesia:33 обнаружение уязвимостей было далеко не самой сложной из связанных с ними проблем. Теперь, вендорам предстоит интегрировать исправленные библиотеки в свои продукты. Для смартфонов и сетевого оборудования задача легко решается автоматической установкой обновлений (OTA), но многие другие устройства зачастую вообще не предусматривают возможности изменения прошивки и останутся уязвимыми до конца своей службы.

Более того, Forescout указывает, что не всегда можно понять — уязвимо ли конкретное устройство: у владельцев часто нет информации даже об используемых операционных системах.

Другими словами, Amnesia:33 в очередной раз демонстрирует, что экосистема интеллектуального оборудования представляет собой головную боль для обеспечения безопасности и будет оставаться таковой ещё многие годы.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT