Pesquisadores encontram uma falha de segurança irreparável que afeta milhões de dispositivos domésticos inteligentes
Um novo white paper de pesquisadores da empresa de segurança corporativa Forescout revelou uma vulnerabilidade que pode afetar milhões de dispositivos conectados.
O problema decorre de vulnerabilidades de dia zero em quatro bibliotecas de código TCP / IP de código aberto amplamente usadas.
Amnésia: 33 pode ser difícil de esquecer
A equipe por trás do white paper apelidou esta vulnerabilidade de Amnesia: 33 e descreve cada problema em detalhes em um white paper disponível no Forescout [PDF] .
Forescout estima que a falha de segurança afeta mais de 150 fornecedores de dispositivos conectados em todo o mundo. Potencialmente, milhões de dispositivos estão vulneráveis, de dispositivos domésticos inteligentes a dispositivos de Internet das Coisas (IoT) usados em ambientes industriais.
A vulnerabilidade tem algumas maneiras potenciais de afetar uma variedade de dispositivos, como descreve o white paper:
- Execução remota de código (RCE) para assumir o controle de um dispositivo de destino
- Negação de serviço (DoS) para prejudicar a funcionalidade e impactar as operações de negócios
- Vazamento de informações (Infoleak) para adquirir informações potencialmente sensíveis
- Envenenamento de cache DNS para apontar um dispositivo para um site malicioso
Qualquer um desses padrões de ataque pode causar estragos em um sistema, e consertar o buraco não será uma tarefa fácil.
Riscos e consequências de amplo alcance
Isso está longe de ser a primeira vez que os sistemas conectados mostraram falhas, com alguns até questionando se dispositivos como o Ring poderiam tornar sua casa menos segura do que os dispositivos de segurança offline tradicionais. Embora não haja até o momento nenhum ataque documentado como resultado dessa vulnerabilidade, a equipe do Forescout delineou alguns cenários de ataque confiáveis.
A pilha de rede usada está presente em um grande número de dispositivos conectados, incluindo plugues inteligentes e monitores de temperatura, o que poderia afetar os usuários domésticos, mas teria consequências muito mais terríveis em espaços públicos.
Em um ambiente de saúde, por exemplo, um invasor pode obter acesso à rede e causar estragos, potencialmente afetando o sistema de temperatura, bloqueios conectados ou disparar alarmes falsos de incêndio. Em um ambiente de varejo, os sensores de temperatura conectados são um ponto frequente de fraqueza e, uma vez na rede, um hacker pode colocar toda a loja offline – algo que tornaria muitas lojas incapazes de concluir transações ou monitorar o estoque.
Claro, esses são os piores cenários, mas como acontece com todos os white papers de segurança: se o Forescout pensou nisso, provavelmente alguém com más intenções também pensou.
Por que isso não pode ser corrigido?
As bibliotecas de código no centro de Amnesia: 33 são os blocos de construção básicos de muitos dispositivos em rede. Eles são todos de código aberto, o que significa que estão disponíveis gratuitamente para serem usados ou modificados pelos desenvolvedores.
Mesmo que essas bibliotecas de código sejam todas atualizadas, a natureza do uso de códigos disponíveis gratuitamente resulta em bibliotecas remixadas, implementações exclusivas e grandes áreas de bases de código com código potencialmente malicioso.
Nesse estágio, a única maneira de isso ser corrigido é se as empresas assumirem responsabilidade individual e avaliarem suas implementações de software, até o metal básico.
Mesmo que a maioria dos fornecedores leve isso a sério, duvido que seja a última vez que ouviremos sobre Amnesia: 33.