Des chercheurs en sécurité ont découvert 33 failles de sécurité critiques affectant des millions d’appareils IoT.
Gartner estime que plus de 80% de toutes les entreprises utilisent actuellement l’Internet des objets pour résoudre des cas d’utilisation commerciale, et qu’une personne sur cinq a subi une attaque grave au cours des trois dernières années. La plupart de ces entreprises utilisent des équipements qui sont affectés par au moins 33 vulnérabilités récemment découvertes, dont la plupart ne seront probablement jamais corrigées pour diverses raisons.
Plus tôt cette année, des chercheurs en sécurité ont découvert que des millions d’appareils IoT et de surveillance alimentés par des puces HiSilicon avaient une porte dérobée triviale qui ne trouvera probablement pas de solution de sitôt, car la société mère Huawei a peu de contrôle sur les implémentations de micrologiciels tiers.
Aujourd’hui, un nouvel article de Forescout Research Labs a révélé qu’une nouvelle série de vulnérabilités affectera les appareils de plus de 150 fournisseurs. Appelées collectivement «Amnesia: 33», les failles affectent quatre piles TCP / IP open-source, en particulier: uIP, picoTCP, FNET et Nut / Net. De loin, le plus vulnérable est uIP, qui est utilisé par la plupart des fournisseurs de la liste.
Si elles sont exploitées, les 33 vulnérabilités permettent aux attaquants de mener un large éventail d’attaques malveillantes telles que le déni de service (DoS), l’exécution de code à distance (RCE), l’empoisonnement du cache DNS pour rediriger vers un domaine malveillant et la fuite d’informations pour acquérir des informations sensibles.
Les chercheurs de Forescout avaient précédemment découvert 20 vulnérabilités dans la pile TCP / IP Treck appelée Ripple20, qui ont finalement été corrigées par la société de logiciels basée à Cincinnati. Cependant, les vulnérabilités Amnesia: 33 affectent les bibliothèques open source utilisées dans une myriade d’appareils provenant de différentes entreprises, ce qui les rend beaucoup plus difficiles à corriger. Cinq des failles existent depuis 20 ans et de nombreux appareils concernés utilisent des puces provenant d’un riche écosystème de fournisseurs de silicium tiers, dont beaucoup offrent peu de documentation et dont certains ne sont plus en activité.
Forescout a travaillé avec l’agence allemande de cyberdéfense BSI, le centre de coordination du CERT, ICS-CERT, JPCERT et l’agence de cybersécurité et de sécurité des infrastructures du Département de la sécurité intérieure pour coordonner l’émission d’alertes sur Amnesia: 33.
En attendant, le laboratoire de recherche explique que les organisations peuvent atténuer les risques en appliquant des correctifs lorsque cela est possible, en surveillant les paquets mal formés, en s’appuyant sur des serveurs DNS internes, en bloquant ou en désactivant le trafic IPv6, et en segmentant et zonant pour minimiser l’impact en cas de compromission d’un appareil. pour obtenir un accès plus profond.
