Новые исследования показывают, что недостатки безопасности, затрагивающие более 100 миллионов интеллектуальных устройств и промышленных машин, могут позволить хакеру захватить продукты или вывести их из строя.
Девять различных уязвимостей были недавно обнаружены исследователями с фирмой безопасности Forescout, которые окрестили их “NAME:WRECK” за то, как они влияют на протокол системы доменных имен (DNS). Вульны находятся в четырех различных стеках TCP/IP, включая Nucleus NET, FreeBSD, NetX и IPNet, которые широко используются IoT и промышленными устройствами.
(Для справки, стеки TCP/IP—что расшифровывается как “Протокол управления передачей/ Интернет—протокол” - это системы правил, реализованных в программном и аппаратном обеспечении, которые обеспечивают последовательную и стандартизированную передачу данных по сетям. Так что использование таких стеков действительно может привести к довольно сложному бизнесу.)
В этом случае уязвимости связаны с тем, как выполняются протоколы DNS. Гипотетически, атаки могут использовать ошибки DNS и привести к удаленному выполнению кода на уязвимых устройствах или атакам с отказом в обслуживании, утверждается в отчете.
Хотя не все устройства, работающие в этих протоколах, являются уязвимыми для злоупотреблений, безопасности изъянов может по-прежнему влиять на астрономическую сумму устройств, по мнению исследователей: “если мы допустим, что 1% из более чем 10 миллиардов развертывания которых говорилось выше, являются уязвимыми, мы можем прикинуть, что по крайней мере 100 млн устройств затронуты название:крушение,” отчет претензии.
Стеки используются так широко в таких разнообразных секторах и отраслях промышленности, что было бы несколько трудно определить “основной список” всех продуктов, которые могут быть затронуты. Это может затронуть здравоохранение, оборонную и аэрокосмическую промышленность, розничную торговлю, связь и сети, а также практически все другие отрасли, которые вы можете себе представить. В случае NetX, например, уязвимости, если их не исправить, потенциально могут повлиять на все-от носимых фитнес-продуктов HTC до различных мониторов медицинских пациентов и, по-видимому, “орбитального разведывательного аппарата NASA Mars Reconnaissance Orbiter”, говорится в докладе.
Итак, что же делать? В подобном случае патчинг работает по принципу просачивания: после того, как разработчик стека выпускает патч, он попадает ко всем поставщикам устройств, которые используют этот стек для выпуска своих собственных. Затем клиенты должны сами интегрировать новые средства защиты в свои индивидуальные устройства. Таким образом, в то время как затронутые разработчики стека уже выпустили все патчи, последующий процесс добавления защиты существует как для поставщиков, так и для потребителей.
В докладе говорится, что для промышленных секторов процесс исправления может быть особенно трудным и трудоемким, поскольку сортировка среды затронутых устройств и компонентов устройств, а затем надлежащее принуждение организаций, которые полагаются на эти машины, выпускать исправления, не всегда является самой простой задачей.
Для типичного потребителя это действительно вопрос ожидания патчей и наблюдения за тем, что скажут поставщики и за существующими уязвимостями”, - сказал Даниэль дос Сантос, руководитель отдела исследований Forescout, в телефонном разговоре. “Одна из проблем, с которой мы сталкиваемся, - это осознание этих проблем”, - сказал он. “Это одна из главных частей нашей миссии—дать людям знать, что происходит.”