فراموشی: به گفته کارشناسان ، 33 نقص اینترنت اشیا خطرناک است و وصله هایی بعید است


افشای 33 نقص پشته TCP / IP که بر دستگاههای هوشمند تولید شده توسط بیش از 150 شرکت فناوری مختلف بار دیگر مورد توجه قرار گرفته است ، نگرش سستی نسبت به امنیت اینترنت اشیا در سطح توسعه است و احتمال اینکه بتوان آنها را در همه دستگاه ها وصله کرد ، کم است ، به این معنی که کاربران یا باید با خطر سازش زندگی کنند ، یا اینکه اقدامات احتیاط آمیز را افزایش دهند که هرگز نمی توانند محافظت را تضمین کنند.

Amnesia دوبله شده: 33 توسط تیم تحقیقاتی Forescout که آنها را کشف کرد ، آسیب پذیری ها قبلاً یک هشدار جدید از مرکز امنیت سایبری CISA ایالات متحده بوده است. آنها به عنوان بخشی از پروژه Memores Forescout کشف شدند ، ابتکاری که هدف آن ایجاد امنیت پشته های TCP / IP بود ، و انتشار آنها اولین افشای اولیه است.

Forescout نشان داد که چهار مورد از آسیب پذیری ها بسیار مهم بوده و امکان اجرای کد از راه دور (RCE) را بر روی دستگاه های هدفمند فراهم می کند و به مهاجمین یک نقطه ورود آسان به یک شبکه اعم از مصرف کننده یا سازمانی می دهد تا بتوانند استقامت ، حرکت جانبی و انجام حملات بعدی را ایجاد کنند یا دستگاه ها را به بات نت های بزرگ اینترنت اشیا تبدیل کنید. برخی دیگر از عملکرد نادرست توسعه نرم افزار ناشی می شوند و مربوط به فساد حافظه هستند که می تواند باعث انکار سرویس ، نشت اطلاعات یا اجرای کد شود.

چندین پشته منبع باز TCP / IP که در سیستم عاملهای دستگاههای جاسازی شده ، سیستمهای روی تراشه ، سخت افزار شبکه ، دستگاههای OT و هزاران دستگاه اینترنت اشیا enterprise سازمانی و مصرفی مورد استفاده قرار می گیرند ، که به گفته Forescout ، یک آسیب پذیری واحد می تواند باشد به راحتی و در سکوت در چندین پایگاه کد ، تیم های توسعه ، شرکت ها و محصولات و از این رو میلیون ها دستگاه گسترش می یابد.

جاناتان نودسن ، استراتژیست ارشد امنیتی در Synopsys ، گفت که این افشاگری ها مشکلات عظیمی را در سطح توسعه برجسته می کند: «امنیت باید بخشی از هر مرحله از توسعه نرم افزار باشد. در طول طراحی یک برنامه ، مدل سازی تهدید و تجزیه و تحلیل ریسک معماری بسیار مهم است. در طول توسعه ، تجزیه و تحلیل استاتیک به حداقل رساندن نقاط ضعف و تجزیه و تحلیل ترکیب نرم افزار (SCA) به حداقل رساندن خطرات اجزای شخص ثالث کمک می کند.

“آزمایش فاز با کمک به توسعه دهندگان برای سخت کردن برنامه در ورودی های غیرمنتظره یا مخرب پروتکل ، خطر را به حداقل می رساند. حتی اگر نقاط ضعف جدید در اجزای نرم افزار کشف شود و به روزرسانی های نرم افزار ضروری باشد ، امنیت حتی در نگهداری نرم افزار نقش اساسی دارد. “

کریس گروو ، مبلغ فناوری در Nozomi Networks ، اظهار داشت که افشای Amnesia: 33 به دلیل مقیاس و پیچیدگی آن بسیار نگران کننده است ، وصله را بسیار دشوار و حتی در برخی موارد حتی غیرممکن می سازد.

هیچ نشانه ای از کاهش حجم و تنوع دستگاه های جاسازی شده وجود ندارد ، بسیاری از آنها سریع ، ارزان توسعه یافتند ، آزاد و فراموش شدند ، Grove توضیح داد ، در حالی که مهاجمان اغلب می توانند برای مدت زمان قابل توجهی قبل از افشای مزایا استفاده کنند.

“با دانستن اینکه دلیل اصلی مشکل (استقرار سیستم های آسیب پذیر تعبیه شده و اینترنت اشیا) با سرعت نمایی و هشدار دهنده ای در حال رشد است ، واضح است که باید خطرات را حساب کرده و به درستی کاهش داد. در بسیاری از موارد ، شناسایی فناوری جاسازی شده و غیرمدیریت دشوار است ، و حتی کمتر از آنکه بخشی از موجودی دارایی مدیریت شده باشد ، “.

“پس از شناسایی سیستم های جاسازی شده ، تشخیص و مدیریت رفتارهای مورد انتظار این دستگاه ها دشوار است. علاوه بر این ، درک نحوه آسیب پذیری پس از شناسایی آسیب پذیری موضوع دیگری است. در حقیقت ، گاهی اوقات وصله غیرممکن است ، با این درک اپراتورها که چاره ای جز پذیرش خطرات ندارند. “

نودسن در Synopsys موافقت کرد: “برای بسیاری از دستگاه های اینترنت اشیا getting ، ارائه سریع یک محصول کارآمد به بازار اولویت دارد ، این بدان معناست که تولید کنندگان ممکن است مکانیزم خودکار برای به روزرسانی نداشته باشند ، یا در واقع ، حتی نمی توانند منابعی را برای حفظ محصولات عرضه شده اختصاص دهند.”

تیم Forescout گفتند که به دلیل پیچیدگی شناسایی و وصله دستگاه های آسیب پذیر ، مدیریت پاسخ ها در سطح سازمانی یک چالش است.

آنها گفتند: “ما توصیه می كنیم راهكارهایی اتخاذ كنید كه قابلیت مشاهده گرانول دستگاه را فراهم كنند ، به نظارت بر ارتباطات شبكه و جداسازی دستگاههای آسیب پذیر یا بخشهای شبکه برای مدیریت ریسك ناشی از این آسیب پذیریها”.

رویکرد پیشگیرانه

بوریس سیپوت ، مهندس ارشد امنیتی Synopsys موافقت کرد که با توجه به اینکه سازندگان دستگاه های آسیب دیده آن را درست ندیده اند ، کاربران مجبورند خودشان به طور فعالانه اقدام کنند.

سیپوت گفت: “استفاده از روش های تخفیف ، مانند غیر معتبر بودن دستگاه ها ، نظارت بر رفتار آنها ، ایجاد زیرشبكه هایی كه در آنها كار می كنند و رعایت اصل حداقل امتیاز تنها چند قدم است كه می توان برای محافظت از دارایی های آنها برداشت.”

با این حال ، تود بردسلی ، مدیر تحقیقات Rapid7 ، گفت که آمنزیا: 33 افشا لزوماً منجر به مصالحه گسترده دستگاه ها و شبکه های هوشمند نمی شود.

وی گفت: “من تردید دارم به زودی شاهد استفاده از حملات فعال خواهیم بود كه از این آسیب پذیری ها استفاده می كنند ، عمدتا به این دلیل كه فقط اطلاعات كافی در این مقاله برای مهاجمین یا مدافعان ارائه نشده است تا بتوانند هنگام تعیین اهداف و تنظیمات احتمالی واقعاً اقدام كنند.”

“این ممکن است با انتشار سوits استفاده از اثبات مفهوم تغییر کند ، اما حتی در آن صورت ، به نظر می رسد حملاتی که در این مقاله توصیف شده است ، به مهاجمان نیاز دارند که در موقعیت های داخلی ممتازی قرار داشته باشند یا کاربران نهایی را فریب دهند تا از یک نقطه پایانی کنترل شده توسط مهاجم پاسخ دهند.”


منبع: tadrisriazi-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>