Amnesia:33: Lỗ hổng trong giao thức TCP/IP ảnh hưởng tới hàng triệu thiết bị IoT

DDos

VIP Members
22/10/2013
524
2.189 bài viết
Amnesia:33: Lỗ hổng trong giao thức TCP/IP ảnh hưởng tới hàng triệu thiết bị IoT
Các nhà nghiên cứu gần đây đã tiết lộ hàng chục lỗ hổng bảo mật trong nhiều ngăn xếp TCP/IP phổ biến, ảnh hưởng đến hàng triệu thiết bị, từ thiết bị mạng và thiết bị y tế đến hệ thống điều khiển công nghiệp, có thể bị kẻ tấn công lợi dụng để chiếm quyền kiểm soát hệ thống.

Các lỗ hổng này được gọi chung là AMNESIA:33 được phát hiện bởi các nhà nghiên cứu của Forescout. Lỗ hổng AMNESIA:33 là một tập hợp 33 lỗ hổng bảo mật ảnh hưởng trực tiếp tới 4 ngăn xếp nguồn mở TCP/IP bao gồm ngăn xếp uIP, FNET, picoTCP và Nut/Net - thường được sử dụng trong thiết bị IoT và thiết bị nhúng.

Do việc quản lý bộ nhớ không đúng cách, việc khai thác thành công các lỗ hổng này có thể gây ra hỏng bộ nhớ, cho phép kẻ tấn công xâm nhập thiết bị, thực thi mã độc, thực hiện các cuộc tấn công từ chối dịch vụ (DoS), đánh cắp thông tin nhạy cảm và thậm chí "đầu độc" bộ nhớ cache DNS.

Trên thực tế, các cuộc tấn công này có thể diễn ra theo nhiều cách khác nhau như làm gián đoạn hoạt động của trạm điện dẫn đến mất điện hoặc chiếm quyền điều khiển hệ thống theo dõi nhiệt độ ngoại tuyến bằng cách sử dụng các lỗ hổng từ chối dịch vụ.

Chi tiết của các lỗ hổng này nằm trong công trình nghiên cứu về tính bảo mật của ngăn xếp TCP/IP sẽ được nhà nghiên cứu trình tại hội nghị bảo mật nổi tiếng BlackHat Europe.

iot-devices.jpg


Do mức độ nguy hiểm cũng như mức độ ảnh hưởng rộng rãi của lỗ hổng, CISA ICS-CERT đưa ra lời khuyên bảo mật nhằm cố gắng cung cấp thông báo sớm về các lỗ hổng được báo cáo và gợi ý các biện pháp phòng ngừa cơ bản để giảm thiểu rủi ro liên quan đến các lỗ hổng.

Hàng triệu thiết bị từ 158 nhà cung cấp trên toàn thế giới dễ bị tấn công bởi lỗ hổng AMNESIA: 33, với khả năng thực thi mã từ xa cho phép kẻ tấn công kiểm soát hoàn toàn một thiết bị và sử dụng nó như một cầu nối để xâm nhập vào trên mạng của các thiết bị IoT qua đó thiết lập tính bền bỉ và biến các hệ thống bị xâm nhập trở thành một phần của mạng botnet mà họ không hề hay biết.

Các nhà nghiên cứu cho biết: "Lỗ hổng AMNESIA:33 ảnh hưởng đến nhiều ngăn xếp TCP/IP nguồn mở được sử dụng rộng rãi bởi các nhà cung cấp thiết bị. Điều này có nghĩa là một lỗ hổng bảo mật tồn tại trong ngăn xếp này có thể dễ dàng ảnh hưởng đến nhiều cơ sở mã, nhóm phát triển, công ty và sản phẩm, điều này đặt ra những thách thức đáng kể đối với việc đưa ra bản vá bảo mật."

Vì những lỗ hổng này trải dài trên một chuỗi cung ứng IoT phức tạp, nên Forescout cảnh báo rằng việc xác định thiết bị nào bị ảnh hưởng là một thách thức lớn.

Giống như các lỗ hổng Urgent/11 và Ripple20 đã được tiết lộ trong thời gian gần đây, AMNESIA:33 bắt nguồn từ việc ghi bộ nhớ ngoài giới hạn, lỗi tràn bộ đệm hoặc thiếu xác thực đầu vào, dẫn đến hỏng bộ nhớ và cho phép kẻ tấn công đưa thiết bị vào trạng thái của một vòng lặp vô hạn, độc hại bộ nhớ đệm DNS và trích xuất dữ liệu tùy ý.

3 lỗ hổng nghiêm trọng nhất được xác định trong ngăn xếp uIP (CVE-2020-24336), picoTCP (CVE-2020-24338) và Nut/Net (CVE-2020-25111), tất cả đều là lỗi thực thi mã từ xa và có điểm CVSS là 9,8.
  • CVE-2020-24336 - Mã phân tích cú pháp bản ghi DNS trong gói phản hồi DNS được gửi qua NAT64 không xác thực trường độ dài của bản ghi phản hồi, cho phép kẻ tấn công làm hỏng bộ nhớ.
  • CVE-2020-24338 - Chức năng phân tích cú pháp tên miền thiếu kiểm tra giới hạn, cho phép kẻ tấn công làm hỏng bộ nhớ bằng các gói DNS được chế tạo đặc biệt.
  • CVE-2020-25111 - Tràn bộ đệm heap xảy ra trong quá trình xử lý trường tên của bản ghi tài nguyên phản hồi DNS, cho phép kẻ tấn công làm hỏng bộ nhớ liền kề bằng cách ghi một số lượng byte tùy ý vào bộ đệm được cấp phát.
Sau khi nhà nghiên cứu tiết lộ, các nhà cung cấp như Microchip Technology và Siemens bị ảnh hưởng bởi các lỗ hổng được báo cáo cũng đã đưa ra các lời khuyên bảo mật tới khách hàng của mình.

Các thiết bị nhúng, bao gồm các thiết bị IoT, thường rất khó để triển khai các bản vá bảo mật và thời gian hỗ trợ bảo mật khá ngắn từ nhà cung cấp thiết bị. Nhà nghiên cứu tin rằng sẽ phải mất rất nhiều năm để có thể vá hoàn toàn lỗ hổng trong ngăn xếp TCP/IP.

CISA khuyến cáo người dùng cập nhật ngăn xếp TCP/IP lên phiên bản mới nhất khi được phát hành, đồng thời giảm thiểu việc kết nối internet các thiết bị nhúng. Trong trường hợp bắt buộc phải kết nối Internet, hãy bảo vệ các hệ thống này bằng tường lửa và lưu trữ ở một khu vực chuyên biệt của mạng doanh nghiệp. Luôn truy cập hệ thống các thiết bị nhúng thông qua VPN để đảm bảo sự an toàn.
Theo: thehackernews
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên