Разделы

Безопасность Администратору Стратегия безопасности

Более 100 млн медицинских и пожарных устройств интернета вещей содержат «дыру», вызывающую отказ

Устройства на базе мониторинговой платформы NanoMQ содержат неприятную уязвимость, которая может вызывать отказ в работе. Среди таких устройств - сенсоры медицинского, противопожарного мониторинга, а также бортовые системы автомобилей.

Охват проблемы

Более ста миллионов устройств интернета вещей содержат высокоопасную уязвимость, которая при успешной эксплуатации выводит их из строя. Среди уязвимого оборудования - системы мониторинга здоровья пациентов в больницах, системы пожарной сигнализации, бортовые средства мониторинга в автомобилях, приложения для «умных городов» и многое другое.

Сама уязвимость присутствует в опенсорсной платформе NanoMQ, разработанной компанией EMQ. Эта платформа создана для мониторинга устройств интернета вещей, в частности, для выявления атипичных показателей.

Как выяснили исследователи фирмы Guadara, NanoMQ содержит целый ряд проблем, способных приводить к массивным сбоям в полагающихся на неё системах.

Эксперт компании Guardara Жолт Имре (Zsolt Imre) объяснил на GitHub, что проблема связана с длиной пакета MQTT, который используется в NanoMQ.

iot6001.jpg
Устройства на базе мониторинговой платформы NanoMQ содержат вызывающую отказ в работе неприятную уязвимость

MQTT - это стандарт обмена сообщениями для интернета вещей, разработанный как чрезвычайно легкий протокол доставки и получения сообщений для подсоединённых устройств с небольшим объемом кода, требующим минимальной пропускной способности сети. Таким образом, MQTT используется в самых разных отраслях, где нужны интеллектуальные датчики с низкой пропускной способностью, таких как автомобилестроение, производство, телекоммуникации, нефть и газ и т.д.

По словам Имре, «когда длина пакета MQTT подвергается каким-то манипуляциям и оказывается меньше ожидаемой, операция memcpy получает такое значение размера, что местоположение исходного буфера начинает указывать на нераспределённую область памяти. В результате происходит сбой NanoMQ».

По словам генерального директора компании Guardara Митали Рахита (Mitali Rakhit), для эксплуатации уязвимости потребуются всего лишь базовые знания о том, как работают сети и способность писать простые скрипты.

Некритично, но...

Сама по себе уязвимость получила 7.1 балла по шкале CVSS, то есть признана высокоопасной, но не критической.

Однако учитывая количество устройств, которые она затрагивает, и то, в каких критичных сферах задействовано оборудование с уязвимым компонентом, реальная угроза может быть критично высокой.

Кирилл Бойко, K2 Cloud: Публичные провайдеры предлагают уровень безопасности, сопоставимый с частными облаками
Облачные тренды

«Под угрозой могут оказаться миллионы жизней и большое количество собственности, - говорится в заявлении Guardara. - NanoMQ и её технологии используются для сбора данных в режиме реального времени с весьма распространённых устройств, включая умные часы, автомобильные и пожарные сенсоры. Программные брокеры сообщений используются для мониторинга состояния пациентов, недавно выписанных из больниц, а также в детекторах движения, составляющих основу систем предотвращения краж».

Разработчик уже выпустил необходимые исправления, однако теперь владельцам устройств, использующих NanoMQ, потребуется установить их - вручную или с помощью средств автоматического обновления, там, где они есть.

«Проблема с IoT-устройствами часто заключается именно в том, что обновляют их слишком редко. Более того, не факт, что многие пользователи вообще узнают, что их девайсы нуждаются в обновлении из-за «бага» в транспортном протоколе, - считает Алексей Водясов, технический директор компании SEC Consult Services. - О подобных вещах обычно пишет лишь специализированная пресса, хотя проблема затрагивает огромное количество людей и предприятий».

IoT-устройства в последнее время очень часто становятся объектами кибератак - в основном в силу большого количества уязвимых компонентов в них.

В сентябре «Лаборатория Касперского» подсчитала, что за первую половину 2021 года количество атак на интернет вещей выросло вдвое, - в абсолютных значениях это около 1,5 млрд. атак только в 2021 г.

Роман Георгиев