Исследование: 46% устройств Интернета вещей подвержено взлому из-за 33 уязвимостей

Новая серия уязвимостей, получившая название Amnesia: 33, подвергает миллионы IoT-устройств риску взлома.

Сегодня исследователи безопасности из Forescout выявили 33 уязвимости. Недостатки обнаружены в четырех библиотеках TCP/IP с открытым исходным кодом, используемых в микропрограммах продуктов более 150 производителей.

По оценкам исследователей, миллионы потребительских и корпоративных IoT-устройств подвержены риску Amnesia: 33 уязвимости.

Затронутые библиотеки: uIP, FNET, picoTCP и Nut/Net. Производители десятилетиями использовали эти библиотеки для добавления поддержки TCP/IP в свои продукты.

Вот количество уязвимостей, обнаруженных в каждой библиотеке:

uIP - 13

picoTCP - 10

FNET - 5

Nut/Net - 5

uIP, наиболее уязвимая библиотека, также использовалась большинством поставщиков.

Forescout также проанализировал следующие библиотеки, но не обнаружил никаких уязвимостей: lwIP, CycloneTCP и uC/TCP-IP.

Из-за распространенности этих библиотек Amnesia затрагивает практически все типы подключенного оборудования: 33 - от SoC до интеллектуальных вилок, от IP-камер до серверов.

В отличие от ранее обнаруженных уязвимостей Ripple20, Amnesia: 33 в первую очередь затрагивает DNS, TCP и IPv4/IPv6.

Ripple20 и Amnesia: 33 уязвимости преимущественно состоят из чтения за пределами границ, за которым следует целочисленное переполнение.

Согласно исследованию Forescout, устройства IoT (46%) представляют собой наибольшее количество затронутых типов устройств. Далее следуют OT/BAS и OT/ICS (19 процентов), а затем ИТ (16 процентов).