فراموشی: به گفته کارشناسان ، 33 نقص اینترنت اشیا خطرناک است و وصله هایی بعید است

[ad_1]

افشای 33 نقص پشته TCP / IP که بر دستگاههای هوشمند تولید شده توسط بیش از 150 شرکت فناوری مختلف بار دیگر مورد توجه قرار گرفته است ، نگرش سستی نسبت به امنیت اینترنت اشیا در سطح توسعه است و احتمال اینکه بتوان آنها را در همه دستگاه ها وصله کرد ، کم است ، به این معنی که کاربران یا باید با خطر سازش زندگی کنند ، یا اینکه اقدامات احتیاط آمیز را افزایش دهند که هرگز نمی توانند محافظت را تضمین کنند.

Amnesia دوبله شده: 33 توسط تیم تحقیقاتی Forescout که آنها را کشف کرد ، آسیب پذیری ها قبلاً یک هشدار جدید از مرکز امنیت سایبری CISA ایالات متحده بوده است. آنها به عنوان بخشی از پروژه Memores Forescout کشف شدند ، ابتکاری که هدف آن ایجاد امنیت پشته های TCP / IP بود ، و انتشار آنها اولین افشای اولیه است.

Forescout نشان داد که چهار مورد از آسیب پذیری ها بسیار مهم بوده و امکان اجرای کد از راه دور (RCE) را بر روی دستگاه های هدفمند فراهم می کند و به مهاجمین یک نقطه ورود آسان به یک شبکه اعم از مصرف کننده یا سازمانی می دهد تا بتوانند استقامت ، حرکت جانبی و انجام حملات بعدی را ایجاد کنند یا دستگاه ها را به بات نت های بزرگ اینترنت اشیا تبدیل کنید. برخی دیگر از عملکرد نادرست توسعه نرم افزار ناشی می شوند و مربوط به فساد حافظه هستند که می تواند باعث انکار سرویس ، نشت اطلاعات یا اجرای کد شود.

چندین پشته منبع باز TCP / IP که در سیستم عاملهای دستگاههای جاسازی شده ، سیستمهای روی تراشه ، سخت افزار شبکه ، دستگاههای OT و هزاران دستگاه اینترنت اشیا enterprise سازمانی و مصرفی مورد استفاده قرار می گیرند ، که به گفته Forescout ، یک آسیب پذیری واحد می تواند باشد به راحتی و در سکوت در چندین پایگاه کد ، تیم های توسعه ، شرکت ها و محصولات و از این رو میلیون ها دستگاه گسترش می یابد.

جاناتان نودسن ، استراتژیست ارشد امنیتی در Synopsys ، گفت که این افشاگری ها مشکلات عظیمی را در سطح توسعه برجسته می کند: «امنیت باید بخشی از هر مرحله از توسعه نرم افزار باشد. در طول طراحی یک برنامه ، مدل سازی تهدید و تجزیه و تحلیل ریسک معماری بسیار مهم است. در طول توسعه ، تجزیه و تحلیل استاتیک به حداقل رساندن نقاط ضعف و تجزیه و تحلیل ترکیب نرم افزار (SCA) به حداقل رساندن خطرات اجزای شخص ثالث کمک می کند.

حتما بخوانید:
Moto G Stylus 2021 در آمازون حضوری کوتاه دارد

“آزمایش فاز با کمک به توسعه دهندگان برای سخت کردن برنامه در ورودی های غیرمنتظره یا مخرب پروتکل ، خطر را به حداقل می رساند. حتی اگر نقاط ضعف جدید در اجزای نرم افزار کشف شود و به روزرسانی های نرم افزار ضروری باشد ، امنیت حتی در نگهداری نرم افزار نقش اساسی دارد. “

کریس گروو ، مبلغ فناوری در Nozomi Networks ، اظهار داشت که افشای Amnesia: 33 به دلیل مقیاس و پیچیدگی آن بسیار نگران کننده است ، وصله را بسیار دشوار و حتی در برخی موارد حتی غیرممکن می سازد.

هیچ نشانه ای از کاهش حجم و تنوع دستگاه های جاسازی شده وجود ندارد ، بسیاری از آنها سریع ، ارزان توسعه یافتند ، آزاد و فراموش شدند ، Grove توضیح داد ، در حالی که مهاجمان اغلب می توانند برای مدت زمان قابل توجهی قبل از افشای مزایا استفاده کنند.

“با دانستن اینکه دلیل اصلی مشکل (استقرار سیستم های آسیب پذیر تعبیه شده و اینترنت اشیا) با سرعت نمایی و هشدار دهنده ای در حال رشد است ، واضح است که باید خطرات را حساب کرده و به درستی کاهش داد. در بسیاری از موارد ، شناسایی فناوری جاسازی شده و غیرمدیریت دشوار است ، و حتی کمتر از آنکه بخشی از موجودی دارایی مدیریت شده باشد ، “.

“پس از شناسایی سیستم های جاسازی شده ، تشخیص و مدیریت رفتارهای مورد انتظار این دستگاه ها دشوار است. علاوه بر این ، درک نحوه آسیب پذیری پس از شناسایی آسیب پذیری موضوع دیگری است. در حقیقت ، گاهی اوقات وصله غیرممکن است ، با این درک اپراتورها که چاره ای جز پذیرش خطرات ندارند. “

نودسن در Synopsys موافقت کرد: “برای بسیاری از دستگاه های اینترنت اشیا getting ، ارائه سریع یک محصول کارآمد به بازار اولویت دارد ، این بدان معناست که تولید کنندگان ممکن است مکانیزم خودکار برای به روزرسانی نداشته باشند ، یا در واقع ، حتی نمی توانند منابعی را برای حفظ محصولات عرضه شده اختصاص دهند.”

حتما بخوانید:
بررسی AirPods اپل | TechRadar

تیم Forescout گفتند که به دلیل پیچیدگی شناسایی و وصله دستگاه های آسیب پذیر ، مدیریت پاسخ ها در سطح سازمانی یک چالش است.

آنها گفتند: “ما توصیه می كنیم راهكارهایی اتخاذ كنید كه قابلیت مشاهده گرانول دستگاه را فراهم كنند ، به نظارت بر ارتباطات شبكه و جداسازی دستگاههای آسیب پذیر یا بخشهای شبکه برای مدیریت ریسك ناشی از این آسیب پذیریها”.

رویکرد پیشگیرانه

بوریس سیپوت ، مهندس ارشد امنیتی Synopsys موافقت کرد که با توجه به اینکه سازندگان دستگاه های آسیب دیده آن را درست ندیده اند ، کاربران مجبورند خودشان به طور فعالانه اقدام کنند.

سیپوت گفت: “استفاده از روش های تخفیف ، مانند غیر معتبر بودن دستگاه ها ، نظارت بر رفتار آنها ، ایجاد زیرشبكه هایی كه در آنها كار می كنند و رعایت اصل حداقل امتیاز تنها چند قدم است كه می توان برای محافظت از دارایی های آنها برداشت.”

با این حال ، تود بردسلی ، مدیر تحقیقات Rapid7 ، گفت که آمنزیا: 33 افشا لزوماً منجر به مصالحه گسترده دستگاه ها و شبکه های هوشمند نمی شود.

وی گفت: “من تردید دارم به زودی شاهد استفاده از حملات فعال خواهیم بود كه از این آسیب پذیری ها استفاده می كنند ، عمدتا به این دلیل كه فقط اطلاعات كافی در این مقاله برای مهاجمین یا مدافعان ارائه نشده است تا بتوانند هنگام تعیین اهداف و تنظیمات احتمالی واقعاً اقدام كنند.”

“این ممکن است با انتشار سوits استفاده از اثبات مفهوم تغییر کند ، اما حتی در آن صورت ، به نظر می رسد حملاتی که در این مقاله توصیف شده است ، به مهاجمان نیاز دارند که در موقعیت های داخلی ممتازی قرار داشته باشند یا کاربران نهایی را فریب دهند تا از یک نقطه پایانی کنترل شده توسط مهاجم پاسخ دهند.”

[ad_2]

منبع: tadrisriazi-news.ir

hacklink al hd film izle php shell indir siber güvenlik türkçe anime izle Fethiye Escort android rat duşakabin fiyatları fud crypter hack forum buy instagram followershtml nullednulled themes1xbet-girişMobil Ödeme BozdurmaMobil Ödeme BozdurmaMobil Ödeme Nakite Çevirme1xbetistanbul escort, elit escort, maltepe escort, sahne escort, istanbulun en iyi escortları, mükemmel escort sitesi, güvenilir escort, hatun escort