Перейти к содержанию

Ripple20: уязвимости в миллионах IoT-устройств


Рекомендуемые сообщения

Эксперты из израильской компании JSOF обнаружили 19 уязвимостей нулевого дня, затрагивающих сотни миллионов устройств Интернета вещей. Некоторые из этих уязвимостей — критические. Самое печальное в том, что часть устройств никогда не получит обновлений. Все уязвимости нашлись в библиотеке TCP/IP, которую уже более 20 лет разрабатывает компания Treck Inc. Исследователи назвали эту коллекцию Ripple20.

Почему это касается вас?

Возможно, вы никогда не слышали ни о компании Treck Inc., ни о ее TCP/IP-библиотеке. Тем не менее, с учетом количества затронутых устройств и вендоров, вполне вероятно, что последняя используется в вашей корпоративной сети. Библиотеку часто применяют в различных IoT-решениях, и в результате среди затронутых IoT-устройств можно найти что угодно — от бытовых и офисных принтеров до промышленных и медицинских устройств.

Творение Treck Inc.  — это низкоуровневая библиотека, позволяющая устройствам взаимодействовать с Интернетом. За 20 лет, прошедшие с релиза первой версии, ее использовало множество компаний — в большинстве случаев проще взять уже готовое чужое решение, чем разрабатывать свое. Некоторые применяли ее без изменений, остальные дорабатывали под свои нужды или встраивали в другие библиотеки.

Более того, когда исследователи искали компании, затронутые Ripple20, они обнаружили несколько случаев, когда оригинальный покупатель библиотеки менял название компании либо оказывался поглощен другой компанией. Так что оценить, сколько разработчиков на самом деле используют эту библиотеку, не так-то просто. «Сотни миллионов устройств» — это грубая предварительная оценка. Возможно, по факту счет идет на миллиарды.

Эта достаточно сложная цепочка поставок также является и причиной того, что в некоторых устройствах уязвимости не будут закрыты никогда.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Кибератаки на серверы и настольные компьютеры хорошо изучены командами ИБ, а методология защиты от них детально проработана. Гораздо сложнее обстоит дело с «незаметными» устройствами: маршрутизаторами, принтерами, медицинской техникой, камерами видеонаблюдения и другими приборами. А между тем они нередко подключены к общей сети организации наравне с серверами и рабочими машинами. Какие из этих устройств требуют первоочередного внимания ИБ-службы и какие факторы риска являются ключевыми в каждом случае, пытались разобраться авторы исследования «Riskiest connected devices 2024».
      Они проанализировали более 19 миллионов устройств: рабочих компьютеров, серверов, IoT-девайсов, специализированной техники для медицины и промышленности. Для каждого экземпляра устройства была вычислена степень риска по десятибалльной шкале, учитывающая наличие известных и эксплуатируемых уязвимостей, активность открытых портов, доступных из Интернета, наличие вредоносного трафика с устройства или на устройство. Дополнительно учитывается важность устройства для организации и возможность критических последствий при его компрометации. Вот какие устройства чаще всего оказывались уязвимыми и подверженными высоким рискам по мнению исследователей.
      Беспроводные точки доступа, маршрутизаторы и межсетевые экраны
      Два первых места в топе устройств с самым высоким уровнем риска в офисной сети уверенно заняли сетевые устройства. Маршрутизаторы, как правило, доступны из Интернета, при этом на многих из них открыты управляющие порты и сервисы, удобные для эксплуатации злоумышленниками: SSH, Telnet, SMB, а также узкоспециализированные проприетарные сервисы управления. За последние годы злоумышленники научились эффективно эксплуатировать уязвимости в этом классе техники, особенно в ее интерфейсах администрирования. Примерно так же обстоит дело и с межсетевыми экранами, тем более что для небольших компаний эти две функции часто объединены в одном устройстве. Точки доступа имеют небезопасные настройки даже чаще маршрутизаторов, но ситуацию немного смягчает то, что для их компрометации нужно находиться поблизости от устройства. Вектором первоначальной атаки обычно становится гостевая сеть Wi-Fi или выделенная сеть для мобильных устройств.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мы в блоге Kaspersky Daily постоянно призываем читателей внимательно относиться к контенту, который они загружают на свои устройства. Ведь даже в Google Play могут затесаться приложения с вредоносным ПО, чего уж говорить о неофициальных источниках с модифицированными или взломанными версиями. Сколько существует цифровой мир, столько и будут трояны проникать в устройства, не имеющие надежной защиты.
      Сегодня расскажем историю, как 11 миллионов пользователей Android по всему миру стали жертвами трояна Necro. В каких приложениях мы нашли это вредоносное ПО и как от него защититься — в этом материале.
      Что такое Necro
      Наши постоянные читатели, скорее всего, на этом месте улыбнулись — мы писали про Necro еще в 2019 году. Тогда наши эксперты обнаружили троян в приложении для распознавания текста CamScanner, которое пользователи Android загрузили из Google Play более 100 миллионов раз. И вот какие-то некроманты возродили старый троян, снабдив его новыми возможностями: мы обнаружили его как в популярных приложениях в Google Play, так и в различных модах приложений, размещенных на неофициальных ресурсах. Вероятнее всего, разработчики этих приложений использовали непроверенное решение для интеграции рекламы, через которое Necro и проник в код.
      Necro сегодня — это загрузчик, который обфусцирован, чтобы избежать детектирования (правда, злоумышленникам это не помогло, мы его все равно нашли). Вредоносную нагрузку он скачивает не менее хитрым образом: прячет ее код в безобидной с виду картинке, используя стеганографию.
      А скачанные вредоносные модули умеют загружать и запускать любые DEX-файлы (скомпилированный код Android-приложения), устанавливать скачанные приложения, запускать туннель через устройство жертвы и даже (потенциально) оформлять платные подписки. Кроме того, в невидимых окнах они могут показывать рекламу и взаимодействовать с ней, а также открывать произвольные ссылки и выполнять любой JavaScript-код.
      Подробнее о том, как именно устроен и работает Necro, читайте в блоге Securelist.
       
      View the full article
    • SS78RUS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ЁлкаПалка
      От ЁлкаПалка
      При запуске игр сначала звук подключения устройства(такой же как например мышку в USB воткнуть),сопровождается это зависанием всего на 2 секунды и только потом запускается сама игра. Все точно тоже самое когда игру закрываю. Пробовал отследить подключаемые устройства с помощью программы USBDeview,не помогло.Никаких поключаемых устройств не обнаружило во время запуска игры.Драйверы на материнскую плату,видеокарты и т.п. обновлены с сайтов разработчика.
      Есть мнение что ноут переключается с интегрированной на дискретную видео карту.Ставил в настройках виндовс галочку чтоб использовало всегда только дискретную,но тогда виндовс и сами игры почему то лагают.
      Помогите решить проблему,очень дискомфортно когда зависания на 2 секунды

    • KL FC Bot
      От KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
×
×
  • Создать...