Zranitelnosti v běžně používaných TCP/IP vystavují IoT zařízení kybernetickým útokům

by | Srp 29, 2021 | Bezpečná domácnost, Nejnovější | 0 comments

Výzkumníci ze společnosti Forescout objevili devět různých zranitelností v rodině internetových protokolů TCP/IP. Zranitelnosti se vyskytují v devíti různých protokolech, které jsou častou používány v IoT a OT zařízeních. Zranitelnosti způsobuje slabé generování počátečního sekvenčního čísla (ISN). Útočníci je mohou využít k provedení DoS (denial-of-service) útoků na zařízení s kompromitovaným typem TPC/IP.

Vliv ISN na TCP

TCP je síťový protokol orientovaný na připojení, který umožňuje dvěma koncovým bodům vzájemnou výměnu dat. Cílem TCP je uspořádat, ověřit a následně vzájemně přenést data mezi koncovými body sítě.

ISN naopak zajišťují, že každé spojení TCP mezi dvěma zařízeními je jedinečné a nedochází k žádným kolizím. Přidělení unikátního ISN tak má zabránit třetím stranám zasahovat do probíhajícího spojení. Aby byly tyto vlastnosti zaručené, musí být ISN generováno náhodně tak, aby útočník nemohl přebrat probíhající spojení nebo podvrhnout nové.

Kompromitované zásobníky používají ke generování hodnot buďto ISN generátor pseudonáhodných čísel (PRNG), nebo např. také slabý algoritmus PRNG.

Výzkumníci prověřili celkem 11 TCP/IP protokolů:

  • Open-source – uIP, FNET, picoTCP, Nut/Net, lwIP, cycloneTCP a uC/TCP-IP
  • MPLAB Net od společnosti Microchip
  • NDKTCPIP společnosti Texas Instruments
  • Nanostack odARM
  • Nucleus NET ze Siemensu

Výsledek lze zařadit do kategorie alarmujících. Pouze lwIP a Nanostack protokoly nejsou ohroženy. U ostatních existuje nezanedbatelná reálná šance získání ISN pro stávající nebo nová TCP spojení.

Kompletní studie výzkumníků z Forescout je dostupná zde.

Opravy a snížení rizik napadení

Většina dodavatelů IoT zařízení již vydala patche a/nebo rady pro snížení rizika napadení. To neplatí pro vývojáře z Nut/Net a uIP, kteří stále na nápravách pracují. Poměrně negativní zprávou však zůstává, že velká část zařízení (zejména lékařské přístroje, monitorovací systém větrných turbín nebo IT úložiště) jsou špatně dostupné a jejich aktualizace je značně  náročná. Je tak velmi nepravděpodobné, že k brzké nápravě u těchto citlivých přístrojů dojde. Další problém představuje také fakt, že zranitelnosti se vztahují i na část zařízení kritické infrastruktury

Forescout přesto administrátorům doporučuje prozkoumat a inventarizovat zařízení, která používají zranitelný zásobník TCP/IP a pokud je to možné, implementovat nezbytné patche.

“U zranitelných zařízení IoT a OT používejte segmentaci, čímž dojde k minimalizaci jejich vystavení síti a poklesu pravděpodobnosti kompromitace bez dopadu na kritické funkce. Segmentace a zónování také omezují dosah a dopad útoku na podnikání v případě kompromitace zranitelného zařízení,” doporučuje dále Forescout.

Nicméně, zavedením IPsec (bezpečnostní rozšíření IP protokolu) se můžete aktivně bránit proti útokům typu TCP spoofing a resetování spojení.

Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz

Zdroj: HelpNetSecurity

Foto: Pixabay

0 Comments
Submit a Comment
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.

Zranitelnosti v běžně používaných TCP/IP vystavují IoT zařízení kybernetickým útokům