Новая серия уязвимостей, получившая название Amnesia: 33, подвергает миллионы IoT-устройств риску взлома.
Сегодня исследователи безопасности из Forescout выявили 33 уязвимости. Недостатки обнаружены в четырех библиотеках TCP/IP с открытым исходным кодом, используемых в микропрограммах продуктов более 150 производителей.
По оценкам исследователей, миллионы потребительских и корпоративных IoT-устройств подвержены риску Amnesia: 33 уязвимости.
Затронутые библиотеки: uIP, FNET, picoTCP и Nut/Net. Производители десятилетиями использовали эти библиотеки для добавления поддержки TCP/IP в свои продукты.
Вот количество уязвимостей, обнаруженных в каждой библиотеке:
uIP - 13
picoTCP - 10
FNET - 5
Nut/Net - 5
uIP, наиболее уязвимая библиотека, также использовалась большинством поставщиков.
Forescout также проанализировал следующие библиотеки, но не обнаружил никаких уязвимостей: lwIP, CycloneTCP и uC/TCP-IP.
Из-за распространенности этих библиотек Amnesia затрагивает практически все типы подключенного оборудования: 33 - от SoC до интеллектуальных вилок, от IP-камер до серверов.
В отличие от ранее обнаруженных уязвимостей Ripple20, Amnesia: 33 в первую очередь затрагивает DNS, TCP и IPv4/IPv6.
Ripple20 и Amnesia: 33 уязвимости преимущественно состоят из чтения за пределами границ, за которым следует целочисленное переполнение.
Согласно исследованию Forescout, устройства IoT (46%) представляют собой наибольшее количество затронутых типов устройств. Далее следуют OT/BAS и OT/ICS (19 процентов), а затем ИТ (16 процентов).