Давняя уязвимость TCP/IP все еще актуальна для миллионов IoT-устройств

Татьяна Никитина 11 Февраля 2021 - 09:00

Домашние пользователи

...

Новый этап реализации проекта Memoria компании Forescout выявил еще девять уязвимых стеков TCP/IP, на которые полагаются миллионы IoT-устройств. Новые находки, объединенные под именем Number:Jack, связаны с фундаментальным аспектом TCP — нумерацией передаваемых сегментов данных.

Согласно стандарту RFC 793, установка нового TCP-соединения предполагает создание и обмен значениями ISN (Initial Sequence Number) — начальными порядковыми номерами сегментов, гарантирующими доставку данных. Эти ISN по идее должны генерироваться случайным образом, чтобы уберечь передаваемые данные от манипуляций и подмены.

Практика показала, что из-за недочетов в реализации стека TCP/IP номера ISN зачастую получаются не совсем случайными, и злоумышленник может без особого труда их угадать и подменить, чтобы вызвать отказ в обслуживании, организовать перехват нешифрованного трафика, перенаправить жертву на вредоносный сайт или напрямую загрузить на ее компьютер зловреда.

О возможности атаки с предсказанием порядковых номеров ISN эксперты предупреждали еще в 90-х годах прошлого столетия, и такие уязвимости уже почти полностью истребили в Windows, Linux и других широко используемых ИТ-продуктах. К сожалению, в мире интернета вещей подобные бреши до сих пор нередки и часто передаются по наследству, позволяя злоумышленникам обойти аутентификацию и получить дополнительный доступ к атакуемой сети.

По этой причине эксперты Forescout решили запустить проект Memoria, предметом которого является исследование защищенности стеков TCP/IP, используемых в современных встраиваемых и IoT-устройствах. На первом этапе им удалось выявить 33 уязвимости в четырех широко используемых TCP/IP-библиотеках; те находки получили известность как Amnesia:33.

Для второго этапа Project Memoria исследователи расширили контрольную выборку, добавив еще несколько популярных стеков. Проверка различных реализаций генератора ISN на соответствие нормам дала следующие результаты:

CVE-2020-27213 в Nut/Net 5.1;
CVE-2020-27630 в uC/TCP-IP 3.6.0;
CVE-2020-27631 в CycloneTCP 1.9.6;
CVE-2020-27632 в NDKTCPIP 2.25;
CVE-2020-27633 в FNET 4.6.3;
CVE-2020-27634 в uIP 1.0, затрагивает Contiki-OS 3.0 и Contiki-NG 4.5;
CVE-2020-27635 в PicoTCP 1.7.0 и PicoTCP-NG.

Все найденные уязвимости оценены в 7,5 балла по шкале CVSS. Вендоры и кураторы проектов поставлены в известность и уже приняли соответствующие меры — кроме одного. Разработчики uIP никак не отреагировали на уведомление от Forescout, так что их планы неизвестны.

Устройства, использующие названные TCP/IP-стеки, эксперты выявлять не стали, чтобы не давать подсказку злоумышленникам. Они только отметили, что такие подробности могли быть опубликованы для некоторых медицинских аппаратов, систем мониторинга работы газотурбинных установок и систем хранения данных.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 15 Декабря 2025 - 19:39

Корпорации Средства управления информационной безопасностью SOAR (Security Orchestration, Automation and Response) Security Vision

В Security Vision SOAR появились ИИ-ассистент и ML-отчёты

Security Vision выпустила обновление платформы SOAR, добавив в неё несколько заметных функций — локальный ИИ-ассистент, ML-скоринг инцидентов и автоматические ML-отчёты по итогам расследований. Обновление ориентировано на повседневную работу SOC и обработку инцидентов без выхода за контур заказчика.

Security Vision SOAR используется для управления и автоматизации реагирования на инциденты информационной безопасности на всех этапах их жизненного цикла — от выявления и анализа до восстановления и постинцидентной работы.

В основе платформы лежит объектно-ориентированный подход: каждый элемент инцидента — будь то хост, учётная запись, процесс или артефакт — рассматривается как отдельный объект со своей историей, связями и возможными действиями.

Сценарии реагирования в системе динамические: плейбуки автоматически подстраиваются под развитие инцидента, появление новых данных и техник атак. Дополнительно платформа выстраивает цепочку Kill Chain, показывая, как развивалась атака и какие шаги предпринимал злоумышленник.

Система также предлагает рекомендации по дальнейшим действиям, опираясь на контекст инцидента, накопленный опыт SOC и ML-модели, включая оценку вероятности ложного срабатывания.

В новом релизе появился локальный ИИ-ассистент в формате чат-бота. Он работает полностью внутри инфраструктуры заказчика и не обращается к внешним сервисам. Ассистент учитывает контекст конкретного инцидента — его стадию, связанные объекты, историю действий и похожие кейсы — и помогает аналитикам разбираться в событиях, расшифровывать логи, понимать техники атак или формировать команды для диагностики. Модель может дообучаться прямо в SOC на результатах обработки инцидентов и аналитических бюллетенях, при этом все данные остаются внутри контура.

Ещё одно нововведение — ML-скоринг критичности инцидентов. Модель автоматически оценивает приоритет события на основе его масштаба и значимости затронутых активов, что упрощает триаж и помогает быстрее понять, какие инциденты требуют внимания в первую очередь.

Также в платформе появился ML-summary — автоматическое резюме по итогам расследования. При закрытии инцидента система формирует краткий отчёт в едином формате: что произошло, какие действия были выполнены, к какому результату они привели и удалось ли атакующему чего-то добиться. Такое резюме сохраняется в карточке инцидента и отчётности, упрощая передачу дел между сменами и снижая потерю контекста.

В целом обновление направлено на то, чтобы упростить и ускорить рутинную работу SOC: быстрее разбираться в инцидентах, снижать нагрузку на аналитиков и сохранять знания внутри команды без необходимости вручную оформлять каждый шаг расследования.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »