Спецпроекты

Три десятка «дыр» в открытых ПО-стеках сделали беззащитными миллионы устройств интернета вещей

Безопасность Техника

Эксперты компании Forescout выявили три десятка уязвимостей в широко распространенных программных стеках TCP/IP. Затронуты миллионы промышленных и потребительских устройств. Часть вендоров уже выпустила патчи, но исправить все не получится.

33 уязвимости

Компания Forescout обнаружила в общей сложности 33 уязвимости в программных стеках TCP/IP с открытым исходным кодом (среди них uIP, FNET, picoTCP и Nut/Net). Эти компоненты используются в миллионах устройств по всему миру. Это означает, что каждое из них уязвимо перед разнородными кибератаками.

Уязвимости, получившие общее название Amnesia:33, позволяют злоумышленникам вызывать сбои в памяти, запускать произвольный код, осуществлять DoS-атаки и красть данные. Четыре уязвимости из общего набора получили статус критических. В большей части случаев они возникают в силу невысокой компетенции программистов, пренебрегающих основами безопасности и рекомендациями по обеспечению надежности программного кода.

По данным экспертов, эти программные уязвимости затрагивают различные устройства не менее чем 150 производителей. И речь идет не только о потребительских, но и о промышленных агрегатах и всевозможных устройствах интернета вещей, включая IP-камеры, принтеры, роутеры, системы кондиционирования воздуха и т. д.

haker600.jpg
Уязвимости в программных стеках грозят миллионам устройств интернета вещей

Точную оценку количества уязвимых устройств эксперты не дают, ссылаясь на то, что проблемные стеки часто используются во встраиваемых системах, которые никем и никогда не документируются.

Что с патчами

Агентство по защите инфраструктуры и кибербезопасности при Министерстве внутренней безопасности США (CISA) уже выпустило специальный бюллетень, посвященный проблеме, в котором, правда, указывается, что некоторое количество производителей уязвимых устройств уже выпустили патчи. Среди таких производителей — Devolo, EMU Electronic, FEIG Electronics, Genetec, Harting, Hensoldt, Microchip Technology, Nontech, NT-Ware Systemprogrammierungs, TagMaster, Siemens, Uniflow и Yanzi Networks.

«Сегодня очень немногое из ПО пишется с нуля; как правило, речь идет о сборке уже существующих и обычно популярных компонентов — библиотек, стеков и т. д., причем это касается и открытого и проприетарного ПО, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Однако популярность компонентов не является залогом их безупречности и отсутствия ошибок. По некоторым подсчетам, минимум в 11% общераспространенных программных компонентов встречаются задокументированные уязвимости. Впрочем, это, кажется, весьма консервативная оценка».

Для корпоративных пользователей единственный способ защититься от подобных неожиданностей — это разворачивать в своей инфраструктуре системы автоматизированного аудита и исправления уязвимостей, полагает эксперт.