研究人员发现影响数百万个智能家居设备的不可弥补的安全缺陷

企业安全公司Forescout研究人员的最新白皮书发现了一个漏洞,该漏洞可能会影响数百万台已连接的设备。

该问题源于四个广泛使用的开放源代码TCP / IP代码库中的零日漏洞。

失忆症:33可能很难忘记

白皮书背后的团队将这个漏洞称为“失忆症:33” ,并在Forescout [PDF]提供的白皮书中详细概述了每个问题。

Forescout估计该安全漏洞影响了全球150多家联网设备的供应商。从智能家居设备到工业环境中使用的物联网(IoT)设备,潜在的数百万设备容易受到攻击。

白皮书概述了此漏洞有几种可能的方式可以影响各种设备:

  • 远程执行代码(RCE)以控制目标设备
  • 拒绝服务(DoS)会削弱功能并影响业务运营
  • 信息泄漏(Infoleak)以获取潜在的敏感信息
  • DNS缓存中毒将设备指向恶意网站

这些攻击方式中的任何一种都可能对系统造成严重破坏,修补漏洞并不是一件容易的事。

广泛的风险和后果

距离连接的系统首次出现缺陷还相距甚远,甚至有人质疑诸如Ring之类的设备是否会使您的房屋不如传统的离线安全设备安全。尽管到目前为止,没有记录到此漏洞的攻击,但Forescout团队概述了一些可靠的攻击方案。

所使用的网络堆栈存在于大量连接的设备中,包括智能插头和温度监控器,这些设备可能会影响家庭用户,但在公共场所会带来更可怕的后果。

例如,在医疗保健环境中,攻击者可能会访问网络并造成破坏,从而可能影响温度系统,连接的锁或触发错误的火灾警报。在零售环境中,连接的温度传感器经常成为弱点,一旦进入网络,黑客就可能使整个商店脱机,这会使许多商店无法完成交易或监控库存。

当然,这是最坏的情况,但与所有安全白皮书一样:如果Forescout想到了,那么怀有恶意的人也可能也有。

为什么不能解决?

失忆症中心的代码库:33是许多网络设备的基础构建块。它们都是开源的,这意味着它们可供开发人员免费使用或修改。

即使这些代码库都已更新,使用免费提供的代码的性质也会导致重新混合的库,独特的实现以及带有潜在恶意代码的大范围代码库。

在此阶段,解决此问题的唯一方法是公司承担个人责任并评估其软件实现,甚至是裸机。

即使大多数供应商都认真对待它,我也怀疑这是失忆症的最后听到:33。