24.09.2021 Устройства на базе мониторинговой платформы NanoMQ содержат неприятную уязвимость, которая может вызывать отказ в работе. Среди таких устройств - сенсоры медицинского, противопожарного мониторинга, а также бортовые системы автомобилей.

Охват проблемы
Более ста миллионов устройств интернета вещей содержат высокоопасную уязвимость, которая при успешной эксплуатации выводит их из строя. Среди уязвимого оборудования - системы мониторинга здоровья пациентов в больницах, системы пожарной сигнализации, бортовые средства мониторинга в автомобилях, приложения для «умных городов» и многое другое.

Сама уязвимость присутствует в опенсорсной платформе NanoMQ, разработанной компанией EMQ. Эта платформа создана для мониторинга устройств интернета вещей, в частности, для выявления атипичных показателей.

Как выяснили исследователи фирмы Guadara, NanoMQ содержит целый ряд проблем, способных приводить к массивным сбоям в полагающихся на неё системах.

Эксперт компании Guardara Жолт Имре (Zsolt Imre) объяснил на GitHub, что проблема связана с длиной пакета MQTT, который используется в NanoMQ.

Устройства на базе мониторинговой платформы NanoMQ содержат вызывающую отказ в работе неприятную уязвимость
MQTT - это стандарт обмена сообщениями для интернета вещей, разработанный как чрезвычайно легкий протокол доставки и получения сообщений для подсоединённых устройств с небольшим объемом кода, требующим минимальной пропускной способности сети. Таким образом, MQTT используется в самых разных отраслях, где нужны интеллектуальные датчики с низкой пропускной способностью, таких как автомобилестроение, производство, телекоммуникации, нефть и газ и т.д.

По словам Имре, «когда длина пакета MQTT подвергается каким-то манипуляциям и оказывается меньше ожидаемой, операция memcpy получает такое значение размера, что местоположение исходного буфера начинает указывать на нераспределённую область памяти. В результате происходит сбой NanoMQ».

По словам генерального директора компании Guardara Митали Рахита (Mitali Rakhit), для эксплуатации уязвимости потребуются всего лишь базовые знания о том, как работают сети и способность писать простые скрипты.

Некритично, но...
Сама по себе уязвимость получила 7.1 балла по шкале CVSS, то есть признана высокоопасной, но не критической.

м предотвращения краж».

Разработчик уже выпустил необходимые исправления, однако теперь владельцам устройств, использующих NanoMQ, потребуется установить их - вручную или с помощью средств автоматического обновления, там, где они есть.

«Проблема с IoT-устройствами часто заключается именно в том, что обновляют их слишком редко. Более того, не факт, что многие пользователи вообще узнают, что их девайсы нуждаются в обновлении из-за «бага» в транспортном протоколе, - считает Алексей Водясов, технический директор компании SEC Consult Services. - О подобных вещах обычно пишет лишь специализированная пресса, хотя проблема затрагивает огромное количество людей и предприятий».

IoT-устройства в последнее время очень часто становятся объектами кибератак - в основном в силу большого количества уязвимых компонентов в них.

В сентябре «Лаборатория Касперского» подсчитала, что за первую половину 2021 года количество атак на интернет вещей выросло вдвое, - в абсолютных значениях это около 1,5 млрд. атак только в 2021 г.https://www.cnews.ru/news/top/2021-09-24_bolee_100_mln_meditsinskih

---