Миллионы IoT-устройств остались незащищенными из-за ошибки в чипах Cinterion

21 август, 2020 - 15:15

Миллионы IoT-устройств остались незащищенными из-за ошибки в чипах Cinterion

X-Force Red, команда «белых хакеров» корпорации IBM, обнародовала детали серьёзной уязвимости в коммуникационных чипах производства Thales, открывающей для атак миллионы устройств Интернета Вещей (IoT). Она может использоваться для обхода проверок безопасности, которые предохраняют файлы и операционный код от неавторизованного доступа.

В сентябре эта уязвимость была обнаружена в модулях Cinterion EHS8, используемых, чтобы создавать защищённые каналы коммуникаций для промышленного IoT-оборудования. Поставленная в известность об этом открытии компания Thales впоследствии подтвердила, что данная проблема затрагивает и другие модули, относящиеся к тому же семейству, что и EHS8: BGS5, EHS5/6/8, PDS5/6/8, ELS61, ELS81 и PLS62.

Злонамеренное использование данной уязвимости может привести к краже интеллектуальной собственности, идентификационной информации, ключей шифрования. Преступники также смогут манипулировать показаниями датчиков (например, систем медицинского мониторинга) и даже отключать умные счётчики коммунальных сетей в масштабах целого города.

«Когда мы говорим о промышленных и критических инфраструктурных средах, таких как нефте- и газопроводы, такой тип уязвимости может привести к серьезным инцидентам для безопасности и окружающей среды, а также к дорогостоящим простоям», — отметил Фил Нерай (Phil Neray), вице-президент принадлежащей Microsoft компании CyberX, занимающейся безопасностью IoT.

Патч, закрывающий эту уязвимость, был подготовлен для клиентов уже в феврале, однако, учитывая огромные масштабы распространения чипов Cinterion, многие устройства все-ещё остаются неисправленными и уязвимыми для атак.