Исследователи кибербезопасности обнаружили множество уязвимостей в основополагающем программном обеспечении с открытым исходным кодом, используемом в «миллионах» умных домов и устройств Интернета вещей.
33 уязвимости, обнаруженные компанией Forescout, занимающейся кибербезопасностью, затрагивают четыре стека TCP / IP с открытым исходным кодом, которые используются в устройствах, созданных более чем 150 поставщиками. Вместе 33 уязвимости, включая четыре критических недостатка безопасности, получили название «AMNESIA: 33».
Согласно Forescout, уязвимости вызывают повреждение памяти, что может позволить злоумышленникам взломать устройства, выполнить вредоносный код, украсть конфиденциальную информацию и выполнить атаки типа «отказ в обслуживании».
Большинство затронутых устройств — это товары для потребителей, такие как удаленные датчики температуры и камеры. Однако они могут варьироваться от простых интеллектуальных розеток и офисных маршрутизаторов до компонентов промышленных систем управления и медицинского оборудования.
Серьезность недостатков, а также их широко распространенный характер побудили Агентство кибербезопасности и безопасности инфраструктуры выпустить бюллетень, информирующий пользователей и производителей об угрозе. Он рекомендовал защитные меры, такие как удаление критически важной инфраструктуры из Интернета.
Несмотря на потенциальную возможность эксплуатации, CISA отметила, что не существует никаких активных публичных эксплойтов, специально нацеленных на эти уязвимости в дикой природе.
Тем не менее, по словам Forescout, одним из тревожных аспектов уязвимостей является то, что они существуют в программном обеспечении с открытым исходным кодом. Это может означать, что решить их будет намного сложнее, поскольку программное обеспечение с открытым исходным кодом часто поддерживается добровольцами, а возраст части уязвимого кода составляет два десятилетия.
Производители устройств должны будут определить и исправить уязвимости. Хотя, поскольку часть скомпрометированного кода существует в стороннем компоненте, его использование должно быть задокументировано, чтобы производители устройств знали, что он там есть.
Forescout уведомил органы по кибербезопасности США, Германии и Японии, а также как можно больше производителей устройств.
Полный список затронутых устройств еще не опубликован. Говорят, что в список вошли Siemens, Genetec, Devolo, NT-Ware, Microchip и Nanotec.
Пользователям умных домашних устройств рекомендуется проверять веб-сайт производителя на наличие последних исправлений и информации о безопасности. Помимо этого, в основном производители должны будут смягчить и решить проблему.
Сам протокол Apple HomeKit не подвержен уязвимостям безопасности. Однако многие устройства используют более одного сетевого протокола или имеют несколько совместимых с системами домашней автоматизации, и поэтому могут быть уязвимы для атаки, если таковая проявится.