IoT-apparaten kwetsbaar door kritieke kwetsbaarheden in veelgebruikte library
Tal van Internet of Things-apparaten en andere op internet aangesloten apparatuur zijn kwetsbaar voor aanvallen door verschillende kritieke kwetsbaarheden in een veelgebruikte library. De problemen zijn aanwezig in de tcp/ip-library van softwarebedrijf Treck. Fabrikanten gebruiken deze library om hun apparaten verbinding met internet te laten maken.
Volgens onderzoekers van securitybedrijf JSOF wordt de kwetsbare library al twintig jaar gebruikt voor medische apparatuur, industriële toepassingen, elektriciteitsnetwerken, transportsystemen en tal van andere sectoren en apparaten, maar ook voor producten als printers en routers. In totaal vonden de onderzoekers negentien kwetsbaarheden die ze de naam "Ripple20" gaven, waarmee het in het ergste geval mogelijk is om systemen op afstand over te nemen. Ook is het mogelijk om apparaten via een denial of service uit te schakelen of vertrouwelijke informatie te stelen.
Twee van de kwetsbaarheden zijn op een schaal van 1 tot en met 10 wat betreft de ernst beoordeeld met een 10. Door het versturen van speciaal geprepareerde ipv4- of ipv6-pakketten is het door deze beveiligingslekken mogelijk om op afstand code uit te voeren. JSOF heeft Treck over de kwetsbaarheden geïnformeerd. Het softwarebedrijf heeft inmiddels beveiligingsupdates beschikbaar gemaakt. Fabrikanten moeten die updates in hun eigen software verwerken en onder gebruikers uitrollen.
Onder andere producten van Caterpillar, HP, Intel, Rockwell, Sandia National Labs, Schneider Electric en HCL Tech zijn kwetsbaar. In het geval van bijvoorbeeld Cisco, Philips, Broadcom, Marvell, Honeywell en General Electric is nog niet duidelijk of die risico lopen.
De onderzoekers merken op dat het al lastig was voor sommige leveranciers om te patchen, maar dat het nog veel lastiger of zelfs onmogelijk voor eindgebruikers kan zijn. Bijvoorbeeld wanneer de library zich op een fysiek gescheiden onderdeel bevindt of wanneer het bedrijf dat het onderdeel leverde niet meer bestaat. Deze gebruikers moeten aanvullende maatregelen nemen, zoals het uitschakelen van IP-tunneling, blokkeren van ongebruikte ICMP-controlberichten en het toepassen van netwerksegmentatie.
Daarnaast kan het zijn dat niet alle leveranciers weten dat ze kwetsbare library gebruiken. Dit komt doordat de library ook in andere software is verwerkt, waardoor fabrikanten niet weten dat de kwetsbare code in hun apparatuur aanwezig is. De onderzoekers stellen dat mogelijk miljarden apparaten risico lopen. Tijdens de komende Black Hat USA-conferentie in augustus zullen de onderzoekers meer informatie over de kwetsbaarheden geven.
Dit terwijl de mensen van Schneider Electric met zichtbare graagte de hardware van die fabrikanten onderling op de beurs vloer liepen te vergelijken.
Ze hadden veel kaarten op de automatisering producten gezet, met zeer grote investeerders die op de achtergrond stelden vrijwel ongelimiteerde budgetten te willen inzetten.
Dat zo een speler dan voor de tcp/ip library kennelijk niet voldoende verder gekeken heeft is wel zonde.
Juist de topmensen bij Schneider Electric zouden dat belang gezien de achtergrond van de holding juist helemaal moeten hebben doorzien.
Bij embedded softwaretoepassingen geldt dat elke cent telt. De aantallen zijn zo groot dat elke besparing van bijvoorbeeld geheugen meteen doorwerkt in de kosten. De TCP/IP-library die wordt gebruikt kan geheel zelfstandig draaien (heeft geen kernel nodig).
De gemiddelde consument (de niet tweaker) heeft geen idee... de vraag is of deze informatie ooit aankomt bij deze consumenten.
"Deze gebruikers moeten aanvullende maatregelen nemen, zoals het uitschakelen van IP-tunneling, blokkeren van ongebruikte ICMP-controlberichten en het toepassen van netwerksegmentatie."
De gemiddelde consument heeft geen flauw benul hoe dit te doen... Die werken met kant en klare oplossingen...
Ik vind dat er bij IOT apparatuur best wel eisen mogen worden gesteld dat deze "te updaten zijn" door de leverancier voordat deze verkocht worden. Dit probleem kan je niet bij de consument neerleggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.