100 milionów urządzeń IoT dotkniętych luką zero-day

Luka wpływa na czujniki samochodowe, te od wykrywania pożaru i śledzenia parametrów zdrowotnych pacjentów. Została odkryta w oprogramowaniu open source firmy EMQ. Może powodować awarie systemów i wpływać na pracę sprzętu medycznego.

Sieci IoT ciągle nie są wystarczająco zabezpieczane / Fot. Jadon Kelly, Unsplash.com

Sieci IoT ciągle nie są wystarczająco zabezpieczane / Fot. Jadon Kelly, Unsplash.com

Naukowcy z firmy Guardara, zajmującej się cyberbezpieczeństwem, odkryli wadę w NanoMQ, silniku przesyłania wiadomości MQ Telemetry Transport (MQTT) i wieloprotokołowej magistrali komunikatów do przetwarzania brzegowego, używanej do zbierania danych w czasie rzeczywistym ze smartwatchów, czujników samochodowych, czujników wykrywania pożaru i innych.

Ta sama technologia jest wykorzystywana do monitorowania parametrów zdrowia za pomocą czujników dla pacjentów opuszczających szpitale, a także czujników wykrywania ruchu, które mają zapobiegać kradzieży.

Zobacz również:

  • Arm wprowadza opartą na chmurze platformę IoT
  • Haker z darknetu - ile kosztuje jego zatrudnienie? To jak szukanie freelancera
  • Jak wybrać platformę IoT w chmurze

Jak tłumaczy w komunikacie Guardana, luka może mieć poważne konsekwencje dla podłączonych urządzeń Internetu rzeczy, które są zależne od NanoMQ.

Eksperci z firmy tłumaczą, że problem leży w długości pakietu MQTT. Ten protokół przesyłania wiadomości dla urządzeń IoT został zaprojektowany jako niezwykle lekki mechanizm do publikowania/subskrybowania wiadomości i łączenia urządzeń zdalnych z niewielkim śladem kodu i minimalną przepustowością sieci.

W momencie gdy długość pakietu MQTT zostaje zmanipulowana i jest niższa niż oczekiwano, operacja memcpy otrzymuje wartość rozmiaru, która powoduje, że lokalizacja bufora źródłowego wskazuje na lub do nieprzydzielonego obszaru pamięci. W rezultacie nanomq ulega awarii.

Zsolt Imre, założyciel i CTO w Guardara, tłumaczy że usterka może potencjalnie narazić na ryzyko miliony ludzi i spowodować ogromne straty finansowe. Sama luka została wykryta przy użyciu nowego narzędzia testowego, opracowanego przez wspomnianą firmę.

Po wykryciu luki Guardara powiadomiła EMQ o problemach, a firma zareagowała i naprawiła usterkę w ciągu jednego dnia.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200