
Zranitelnosti v běžně používaných TCP/IP vystavují IoT zařízení kybernetickým útokům

Vliv ISN na TCP
TCP je síťový protokol orientovaný na připojení, který umožňuje dvěma koncovým bodům vzájemnou výměnu dat. Cílem TCP je uspořádat, ověřit a následně vzájemně přenést data mezi koncovými body sítě.
ISN naopak zajišťují, že každé spojení TCP mezi dvěma zařízeními je jedinečné a nedochází k žádným kolizím. Přidělení unikátního ISN tak má zabránit třetím stranám zasahovat do probíhajícího spojení. Aby byly tyto vlastnosti zaručené, musí být ISN generováno náhodně tak, aby útočník nemohl přebrat probíhající spojení nebo podvrhnout nové.
Kompromitované zásobníky používají ke generování hodnot buďto ISN generátor pseudonáhodných čísel (PRNG), nebo např. také slabý algoritmus PRNG.
Výzkumníci prověřili celkem 11 TCP/IP protokolů:
- Open-source – uIP, FNET, picoTCP, Nut/Net, lwIP, cycloneTCP a uC/TCP-IP
- MPLAB Net od společnosti Microchip
- NDKTCPIP společnosti Texas Instruments
- Nanostack odARM
- Nucleus NET ze Siemensu
Výsledek lze zařadit do kategorie alarmujících. Pouze lwIP a Nanostack protokoly nejsou ohroženy. U ostatních existuje nezanedbatelná reálná šance získání ISN pro stávající nebo nová TCP spojení.
Kompletní studie výzkumníků z Forescout je dostupná zde.
Opravy a snížení rizik napadení
Většina dodavatelů IoT zařízení již vydala patche a/nebo rady pro snížení rizika napadení. To neplatí pro vývojáře z Nut/Net a uIP, kteří stále na nápravách pracují. Poměrně negativní zprávou však zůstává, že velká část zařízení (zejména lékařské přístroje, monitorovací systém větrných turbín nebo IT úložiště) jsou špatně dostupné a jejich aktualizace je značně náročná. Je tak velmi nepravděpodobné, že k brzké nápravě u těchto citlivých přístrojů dojde. Další problém představuje také fakt, že zranitelnosti se vztahují i na část zařízení kritické infrastruktury
Forescout přesto administrátorům doporučuje prozkoumat a inventarizovat zařízení, která používají zranitelný zásobník TCP/IP a pokud je to možné, implementovat nezbytné patche.
“U zranitelných zařízení IoT a OT používejte segmentaci, čímž dojde k minimalizaci jejich vystavení síti a poklesu pravděpodobnosti kompromitace bez dopadu na kritické funkce. Segmentace a zónování také omezují dosah a dopad útoku na podnikání v případě kompromitace zranitelného zařízení,” doporučuje dále Forescout.
Nicméně, zavedením IPsec (bezpečnostní rozšíření IP protokolu) se můžete aktivně bránit proti útokům typu TCP spoofing a resetování spojení.
Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz
Zdroj: HelpNetSecurity
Foto: Pixabay

0 Comments