Эксперты из компании IBM обнаружили критическую уязвимость в модуле производителя Thales, который встроен в огромное количество IoT-устройств, в том числе в оборудование, которое применяется в сфере телекоммуникации и энергетики, медицинской и автомобильной отрасли.
На первой стадии исследования уязвимость ИБ-специалисты нашли только в модуле Thales Cinterion EHS8 M2M, который отвечает за обеспечение безопасности при создании 3G и 4G подключения на IoT-устройствах. Но дальнейшее расследование показало, что уязвимость также актуальна для многих других модулей в линейке компании Thales.
Суть в том, что модули Thales применяют Java-код, содержащий различные сведения, в том числе ключи шифрования, пароли, сертификаты. Поэтому киберпреступники, имеющие доступ к конкретному IoT-устройству, могут с помощью найденной уязвимости обойти систему защиты, получив полный доступ к конфиденциальным сведениям, использовав их для управления IoT-устройством или всей сетью, в которой оно находится. В ряде случаев у хакеров даже будет возможность удаленно эксплуатировать уязвимость через функционал связи в модуле Thales.
Эксперты IBM отмечают, что последствия проведенной кибератаки во многом будут зависеть от области использования взломанного IoT-устройства. Например, киберпреступники могут взломать медицинское оборудование, управлять им, либо получить доступ к «умным» счетчикам электричества, изменив имеющиеся показатели.
В отчете компании IBM сказано следующее: «Киберпреступники, получив через обнаруженную нами в модуле Thales уязвимость доступ к ряду IoT-устройств, могут запросто выключить «умные» счетчики воды или электричества по всему району, городу, что станет причиной масштабных блекаутов, в результате чего потребуется выезд специалистов на ремонт. Также, в теории, возможно и полное повреждение энергетической сети даже через один уязвимый модуль Thales».
В завершении отчета IBM уточняется, что ИБ-эксперты обнаружили данную уязвимость еще в феврале 2020 г., о чем было немедленно сообщено разработчику. При этом установка обновлений безопасности для IoT-устройств, к примеру, медоборудования или АСУ ТП, является крайне сложной и трудоемкой задачей, поэтому некоторые виды устройств, вероятно, еще подвержены этой уязвимости (особенно в тех организациях, где своевременно не устанавливают соответствующие патчи).
