Исследователи безопасности, анализируя сетевой стек, используемый в сотнях миллионов устройств, обнаружили, что он содержит серьезные уязвимости, которые могут быть использованы злоумышленниками для удаленного выполнения кода и эксфильтрации данных.
Библиотека программного обеспечения создана компанией Treck, которая специализируется на сетевых стеках transmission control protocol/Internet protocol (TCP/IP) для встраиваемых устройств.
JSOF, которая начала анализировать программное обеспечение Treck в сентябре прошлого года, обнаружила в общей сложности 19 уязвимостей.
Из них четыре помечены как критические, имеющие рейтинги более 9 в соответствии с Общей системой оценки уязвимостей версии 3 и могут рассматриваться как нулевые дни, сказал JSOF.
Две критические уязвимости, которые могут быть вызваны отправкой нескольких искаженных пакетов интернет-протокола версии 4 и 6 на устройства, могут быть использованы для удаленного выполнения кода и нести максимальный балл серьезности 10 из 10 в соответствии с CVSSv3.
Еще одна удаленная уязвимость code excution составляет 9 из 10 на CVSSv3, но JSOF сказал, что, по его мнению, это самая серьезная из всех, поскольку поиск в системе доменных имен (DNS) может покинуть сеть, в которой находится устройство, позволяя злоумышленникам захватить оборудование через отравление кэша резольвера.
Такая уязвимость может обойти меры безопасности и, вероятно, будет трудно обнаружить брандмауэрам и подобным продуктам, сказал JSOF.
Если уязвимые устройства сталкиваются с Интернетом, злоумышленники могут использовать эти уязвимости, чтобы захватить их или скомпрометировать их, чтобы они лежали скрытыми в сетях в течение многих лет.
Обход трансляции сетевых адресов (NAT) также возможен из внешнего мира, отметил JSOF.
Помимо применения исправлений к уязвимым устройствам, JSOF рекомендует администраторам попытаться отфильтровать аномальный трафик TCP/IP, чтобы смягчить последствия эксплуатации.
Продукты, которые не могут быть обновлены, не должны быть доступны из Интернета, если это абсолютно необходимо, и сетевое воздействие для них должно быть сведено к минимуму, предложил JSOF.
Трек признал наличие уязвимостей, выпустил патчи для них, а также уведомил своих клиентов.
JSOF сказал, что работа с Treck была «изначально сложной задачей», поскольку компания, похоже, никогда не была объектом независимых исследований безопасности.
Трек также передал информацию, раскрытую JSOF, судебным юристам, сказал поставщик безопасности.
Обратившись за помощью к поставщикам, использующим стек TCP/IP, таким как Digi, HP, Intel и Quadros, JSOF смог связаться с Treck и поработать с компанией над устранением многочисленных уязвимостей в ее программном обеспечении.
