Les appareils IoT pourraient en fait devenir l’amiante du futur après tout, car de nouvelles recherches de Forescout ont révélé qu’il existe 33 nouvelles vulnérabilités corrompant la mémoire qui affectent des millions d’appareils connectés dans le monde.
Ces failles ont un impact sur quatre piles TCP / IP open source (uIP, PicoTCP, FNET et Nut / Net) qui servent de composants de base à des millions d’appareils connectés, notamment des capteurs et des éclairages domestiques intelligents, des lecteurs de codes-barres, des systèmes d’automatisation des bâtiments, des équipements de réseau d’entreprise. et même des systèmes de contrôle industriels.
Les chercheurs de Forescout présenteront leurs découvertes sur ces nouvelles vulnérabilités, qu’ils ont surnommées Amnesia: 33, lors de la conférence sur la sécurité Black Hat Europe de cette année. Les chercheurs estiment que des millions d’appareils de plus de 150 fournisseurs contiennent probablement les vulnérabilités qui pourraient exposer les appareils embarqués à des attaques par déni de service, à l’exécution de code à distance, à des fuites d’informations, à l’empoisonnement du cache DNS et même à une prise de contrôle totale.
Pour aggraver les choses, il sera presque impossible de corriger tous les appareils concernés car ils sont tous construits sur des piles open source qui ont été modifiées et republiées plusieurs fois au fil des ans.
Sommaire
Amnésie: 33
L’utilisation de composants logiciels open source peut certainement avoir ses avantages, mais dans ce cas, il sera extrêmement difficile pour les fabricants d’appareils IoT de patcher leurs produits et de distribuer ces mises à jour aux utilisateurs.
La vice-présidente de la recherche chez Forescout, Elisa Costante, a fourni des informations supplémentaires sur l’impact potentiel d’Amnesia: 33 à Filaire, en disant:
« Ce qui me fait le plus peur, c’est qu’il est très difficile de comprendre l’ampleur de l’impact et le nombre d’appareils vulnérables supplémentaires. Ces piles vulnérables sont open source, donc tout le monde peut les prendre et les utiliser et vous pouvez le documenter ou non. . Les 150 que nous avons jusqu’à présent sont ceux que nous avons pu trouver qui ont été documentés. Mais je suis sûr qu’il y a des tonnes et des tonnes d’autres appareils vulnérables que nous ne connaissons pas encore. «
En exploitant l’une des vulnérabilités Amnesia: 33, un attaquant pourrait prendre le contrôle total d’un appareil connecté et l’utiliser comme point d’entrée sur un réseau, point de pivot pour un mouvement latéral, point de persistance sur le réseau cible ou comme cible finale d’une attaque.
Les entreprises sont exposées à Amnesia33, car elles pourraient voir leurs réseaux d’entreprise compromis tandis que les consommateurs pourraient voir leurs appareils IoT utilisés dans le cadre d’un botnet à leur insu en raison d’un attaquant exploitant ces vulnérabilités. Pour le moment, cependant, il est toujours difficile d’évaluer l’impact total d’Amnesia: 33 parce que les piles vulnérables sont si répandues, hautement modulaires et sont souvent incorporées dans des composants embarqués tels que les systèmes sur puce (SoC) utilisés par les appareils. fabricants.
Nous en saurons probablement plus sur l’impact total d’Amnesia33: une fois que Forescout présentera ses conclusions à Black Hat Europe et que d’autres membres de la communauté de la cybersécurité commenceront leurs propres enquêtes sur la question.
Via filaire
