آسیب پذیری های پشته TCP / IP دستگاه های اینترنت اشیا را تهدید می کند!
مجموعه ای از آسیب پذیری ها در پشته های TCP/IP، که توسط FreeBSD و سه سیستم عامل بی درنگ مشهور طراحی شده برای اینترنت اشیا استفاده می شود، این هفته توسط فروشنده امنیتی Forescout و JSOF Research فاش شد. این 9 آسیب پذیری می تواند به طور بالقوه 100 میلیون دستگاه را تحت تأثیر قرار دهند.
Nucleus NET ،IPNet و NetX دیگر سیستم عامل هایی هستند که تحت تأثیر این آسیب پذیری ها قرار گرفته اند که در گزارش مشترکی که توسط Forescout و JSOF به نام Name:Wreck منتشر شده است، آورده شده اند.
Forescout در گزارشی درباره این آسیب پذیری ها می نویسد که پشته های TCP/IP به دلایل مختلف از جمله استفاده گسترده، بسیاری از این پشته ها مدتها پیش ایجاد شده اند و اینکه آنها یک سطح حمله جذاب را ایجاد می کنند (به لطف عملکرد و پروتکلهای تأیید نشده که از محیط شبکه عبور می کنند) به ویژه آسیب پذیر هستند.
سیستم Domain Name تقریباً از همان مواردی رنج می برد که در مورد آسیب پذیری های Name: Wreck قابل بهره برداری است.
در این گزارش آمده است: “DNS یک پروتکل پیچیده است که تمایل به پیاده سازی آسیب پذیری دارد و این آسیب پذیری ها اغلب می توانند توسط مهاجمان خارجی برای کنترل همزمان میلیون ها دستگاه مورد استفاده قرار گیرند.”
Name: Wreck می تواند حملات انکار سرویس و اجرای کد از راه دور را امکان پذیر کند و به گفته اریک هانسلمن، تحلیلگر اصلی تحقیق در 451 تحقیق، به دلیل ضعف در برنامه نویسی، هنگام تجزیه محتوای کد پاسخ DNS، باعث خرابی می شود. اساساً، یک مقدار کلیدی در سیستم که برای فشرده سازی پاسخ های DNS در بسته های کوچکتر و قابل جابجایی استفاده می شود، توسط سیستم تأیید نمی شود و می تواند توسط مهاجمان دستکاری شود.
هانسلمن گفت: “دشواری حملات DNS این است كه پاسخ های DNS می تواند حاوی مقدار قابل توجهی اطلاعات باشد. گزینه های قالب بسیار زیادی وجود دارد؛ از این رو، بازگشت حجم قابل توجهی از داده ها در یک پاسخ DNS غیر معمول نیست و اگر درخواست های DNS را ردیابی نمی کنید و استفاده از OpenDNS را در محیط خود مجاز می دانید، پیگیری پاسخ برای اطمینان شما بسیار دشوار است.”
خطر واقعی که یک سازمان در معرض آن قرار می گیرد، براساس اینکه کدام یک از پشته های آسیب پذیر را استفاده می کند، متفاوت است. طبق این گزارش، آسیب پذیری FreeBSD گسترده تر است – میلیون ها شبکه IT از جمله Netflix و Yahoo و همچنین دستگاه های شبکه سنتی مانند فایروال ها و روتر ها را تحت تأثیر قرار می دهد، اما رفع آن آسان تر است.
برایان کیمه، تحلیلگر ارشد Forrester، گفت: “این سیستم ها قابل مدیریت هستند – ما باید بتوانیم آنها را به روز کنیم. [و] آنها باید برای اصلاح اولویت بندی شوند، زیرا آنها بخشی از شبکه شما هستند.”
در بسیاری از موارد، نمی توان همین مورد را درباره سیستم عاملهای بی درنگ تحت تأثیر Name: Wreck گفت؛ زیرا مشکلات استانداردی که باعث ایجاد امنیت شبکه در دستگاههای اینترنت اشیا می شود، در اینجا همچنان ادامه دارد. توانایی پچ و بروزرسانی میان افزار هنوز یک ویژگی استاندارد نیست و OEM های دستگاه های متصل – که ممکن است کاملاً قدیمی باشند و از ابتدا طراحی نشده اند که متصل به اینترنت باشند – حتی ممکن است دیگر کار نکنند.
به گفته هانسلمن، در مواردی که در آن دستگاه های اینترنت اشیا آسیب پذیر هستند، امنیت قوی باید از لایه شبکه شروع شود. نظارت مستقیم بر شبکه برای انجام فعالیت های غیرطبیعی – که باز هم، در صورت بروز آسیب پذیری TCP/IP، ممکن است گاهی اوقات دشوار باشد – شروع خوبی است، اما آنچه واقعاً مورد نیاز است تکنیک هایی مانند حفاظت از DNS query است.
وی گفت: “خوشبختانه برای بیشتر سازمانها، نظارت بر DNS بسیار ترویج یافته است، زیرا DNS یكی از بهترین روشها برای شناسایی باج افزار است. اکثر سازمانها باید از حفاظت از درخواست DNS منطقی در محل خود استفاده کنند.”
دامنه فعال این آسیب پذیری ها توسط عوامل مختلفی محدود شده است، از جمله اینکه آیا دستگاه های آسیب دیده مستقیماً به اینترنت دسترسی دارند (در موارد بسیاری از تجهیزات پزشکی توصیف شده بعید به نظر می رسد) و اینکه چگونه قابل جستجو هستند. علاوه بر این، لازم به ذکر است که تصور می شود هیچ یک از آنها در طبیعت هنوز مورد بهره برداری قرار نگرفته اند. با این حال، یک هدف اصلی برای مشاهده اینگونه خطرات می تواند چاپگرها باشد.
به گفته کیمه، چاپگرها بسیار در دسترس هستند، زیرا کم و بیش در همه جا وجود دارند و تمایل دارند توجه امنیتی زیادی را به خود جلب نکنند و پس از به خطر افتادن، می توانند بردار ارائه دهند که از طریق آن می توان به سایر دستگاه های آسیب پذیر شبکه دسترسی داشت.
وی گفت: “به ندرت افراد قصد دارند آنها را از نظر آسیب پذیری ارزیابی كنند، بنابراین توسط عوامل تهدید مورد سو استفاده قرار می گیرند. من می توانم مهاجمانی را ببینم كه از آسیب پذیری های اینترنت اشیا استفاده می كنند؛ زیرا وقتی از چیز دیگری برای ورود به محیط استفاده می كنند، آنها آسیب پذیر می شوند.”
Name: Wreck البته از تنها مجموعه آسیب پذیری های TCP/IP از راه دور نیست. Forescout و JSOF، بین آنها، چندین خانواده از این نوع نقص امنیتی را در گذشته کشف کرده اند از جمله Ripple20 ،Amnesia: 33 و Number: Jack فقط در سال گذشته کشف شده اند و کارشناسان توافق دارند که آسیب پذیری های بیشتر احتمالاً آشکار می شوند. برای آینده قابل پیش بینی یک چیز، به همین سادگی تعداد زیادی پشته IP وجود ندارد، به این معنی که بسیاری از آنها در طیف وسیعی از برنامه ها استفاده می شوند و به طور کلی ایمن تصور می شوند.
هانسلمن گفت: “این چیزی است كه هر كسی تصور می كند می تواند پشته IP را از هر توزیع مورد علاقه [نرم افزار منبع باز] مورد علاقه خود خارج كند و این مورد باید خوب محافظت شود. در اکثر موارد، این درست است، اما گروه های شبکه با مدیریت کاملاً پیچیده ای سروکار دارند و می توان روش های غیرمنتظره ای برای دستکاری آنها داشت.”
نظر بدهید