Forescout araştırmacıları Stanislav Dashevskyi, Daniel dos Santos, Jos Wetzels ve Amine Amri tarafından yazılan rapor, siber güvenlik şirketinin Project Memoria girişiminin bir parçası.
Salı günü yayınlanan bir rapora göre Forescout Technologies, başlıca IoT, OT ve BT cihaz satıcıları tarafından kullanılan dört farklı açık kaynaklı TCP / IP yığınında dört uzaktan kod yürütme kusuru dahil olmak üzere 33 yeni güvenlik açığını açıkladı.
Rapora göre girişim, topluma TCP’nin güvenliği konusunda en büyük çalışmayı sağlamayı amaçlıyor. / IP yığınlarının.”
“Amnesia: 33” olarak adlandırılan yeni güvenlik açıkları, uIP, picoTCP, FNET, Nut / Net, IwIP, CycloneTCP ve uC / TCP-IP dahil olmak üzere yedi açık kaynaklı TCP / IP yığınının analizi sırasında keşfedildi.
Amnezi’nin 13’ü: uIP’de 33 güvenlik açığı bulundu
10’u picoTCP’de, 5’i FNET’te ve 5’i Nut / Net’te bulundu. Güvenlik açıkları, “gömülü cihazlar için işletim sistemlerini, çip üzerinde sistemleri, ağ donanımlarını, OT cihazlarını ve sayısız kurumsal ve tüketici IoT cihazlarını” etkileme özelliğine sahip ve rapor, birden çok faktör nedeniyle bu güvenlik açıklarını tam olarak düzeltmek zor.
“150’den fazla satıcının ve milyonlarca cihazın AMNESIA’ya karşı savunmasız olduğunu tahmin ediyoruz: 33. Bununla birlikte, AMNESIA’nın tam etkisini değerlendirmek zordur:
33 çünkü savunmasız yığınlar geniş çapta yayılmıştır (farklı IoT, OT ve BT cihazları arasında farklı dikeyler), oldukça modüler (bileşenlerin, özelliklerin ve ayarların çeşitli kombinasyonlarda mevcut olması ve kod tabanlarının sıklıkla çatallanmasıyla) ve belgelenmemiş, derinlemesine gömülü alt sistemlere dahil edilmesi. Aynı nedenlerden dolayı, bu güvenlik açıklarının ortadan kaldırılması çok zor olma eğilimindedir raporda söyledi.
Buna ek olarak, Forescout araştırmacıları Amnezi: 33 güvenlik açığını yamalamak ve hafifletmek zor olacak dedi. Açık kaynak kodu, güvenlik açıklarını düzeltmeyi kolaylaştırmalıdır. İdeal olarak, yeni bir güvenlik açığı ortaya çıktığında, projenin herhangi bir üyesi bir güvenlik yaması hazırlayabilir.
Ancak, bu araştırma sırasında, birçok çatal, dal ve desteklenmeyenler nedeniyle bunu keşfettik. henüz mevcut sürümler, bu yamaları her yerde uygulamak zordur.”
Raporda, Forescout’un ICS-CERT ve CERT Koordinasyon Merkezi ile güvenlik açıklarını yamalama ve ifşa etmenin yanı sıra etkilenen satıcılarla iletişim kurmada çalıştığı belirtildi.
Ek olarak, GitHub‘ın güvenlik ekibi, etkilenen TCP / IP depolarını belirleme ve bunlarla iletişim kurma konusunda yardımcı oldu.
Bununla birlikte, Forescout araştırmacıları
Yalnızca bazı yığınların kusurlar için yamalar geliştirdiğini belirtti. Rapora göre, n resmi yamalar için verilmiş olan o vulnera içinde hastanın talimatları orijinal UIP, Contiki ( bir u IP sürüm) ve PicoTCP Proje cts.
Forescout araştırma başkan yardımcısı Elisa Costante, SearchSecurity’e, milyonlarca cihazın genel olarak tahmin edilmesine veya hesaba katılmasına rağmen, burada kapsam hakkında gerçek bir tahmin elde etmenin zor olduğunu söyledi. “Bunun sadece yüzey olduğuna ve aslında çok daha fazla cihazın etkilendiğine inanıyoruz” dedi.
“Ve bunu söylememizin nedeni, aslında hangi cihazların savunmasız olduğunu anlamak ve bu belirli TCP / IP yığınlarını çalıştırmak oldukça zor.”
33 güvenlik açığından dördü uzaktan kod yürütme (RCE) potansiyeline sahiptir.
CVE-2020-25111, Nut / Net üzerinde DNS sorularını ve yanıtlarını işleyen kodla ilgili sorunlardan kaynaklanır ve CVSS v3.1 puanı 9,8;
CVE-2020-24338, picoTCP’deki alan ayrıştırma işlevinde sınır kontrollerinin olmamasını içerir ve 9,8 puana sahiptir; ve uIP’deki iki güvenlik açığı, CVE-2020-24336 (CVSS 9.8) ve CVE-2020-25112 (CVSS 8.1), saldırganların belleği bozmasına olanak tanır.
Rapor, böceklerin bağımsız olarak bulunduğunu söylese de, daha önce bazı bağlamlarda iki (24338 dahil) rapor edilmişti.
Genel olarak, güvenlik açıkları, raporda belirtildiği gibi
Uzaktan kod yürütme (RCE), hizmet reddi (kilitlenme veya sonsuz döngü yoluyla DoS), bilgi sızıntısı (infoleak) ve DNS önbellek zehirlenmesi dahil olmak üzere dört potansiyel etki kategorisine sahiptir.
Genel olarak, bu güvenlik açıklarından, bir hedef cihazın (RCE) tam kontrolünü ele geçirmek, işlevselliğini bozmak (DoS), potansiyel olarak hassas bilgiler elde etmek (infoleak) veya bir cihazı saldırgan tarafından kontrol edilen bir etki alanına yönlendirmek için kötü amaçlı DNS kayıtları enjekte etmek (DNS önbellek zehirlenmesi) için kullanılabilir. ).” Açık kaynak TCP / IP yığınlarının artık kullanılmayacağı sorulduğunda, Costante “hiç de değil” dedi.
“Mesaj bu değil. Mesaj, topluluk olarak çeşitli zorlukları ele almamız gerektiğidir. Birincisi, yazılımı daha güvenli hale getirmek. Bu hatalardan bazıları 90’lardan kalma hatalar. Bu yüzden biz buna Project Memoria diyoruz. çünkü BT sistemlerinde hata anılarını başlangıçta geri getiriyor.
IoT’nin olması, hafif olması gerektiği anlamına gelir, ancak hafif olması daha az güvenli anlamına gelmez. Bunun üstüne şifreleme koymanız gerektiğini söylemiyoruz.
Girdiyi doğrulamaya, doğru bellek parçasına baktığınızı kontrol etmeye vb. dikkat etmeniz gerektiğini söylüyoruz. Tüm bunlar geliştirme düzeyinde yapılabilir. “dedi. Raporun lwIP, CycloneTCP ve uC / TCP-IP yığınlarında neden herhangi bir güvenlik açığı bulamadığına gelince,
Yazarlar “üç yığının çok tutarlı sınır kontrolüne sahip olduğunu ve genellikle en yaygın olanlardan biri olan av tüfeği ayrıştırmasına dayanmadığını gözlemlediler. anti-kalıplar belirledik.”
Bulgular, Treck TCP / IP yığınını içeren bir dizi sıfır gün güvenlik açığı olan Ripple20’ye geri dönüyor ve cihazlar, rapor edildikten aylar sonra güvenlik açıklarından etkilenmeye devam ediyor.
Costante, güvenliğin çoğu insanın güvenliğin sandığının ötesine geçtiğini ve geliştirme düzeyine kadar gittiğini belirtti.
“İnsanlar meselesi, güvenliğin etrafındaki ağır prosedürler, şifreleme ve çalıştırması çok ağır olan anahtar yönetim sistemleri anlamına gelir, ancak durum böyle değil. Burada sorun gerçekten temel geliştirme hijyeninde.”
