Уязвимости NAME:WRECK затрагивают 100 миллионов сетевых и IoT-устройств

Татьяна Никитина 13 Апреля 2021 - 15:38

...

Уязвимости NAME:WRECK затрагивают 100 миллионов сетевых и IoT-устройств

Участники проекта Memoria компании Forescout выявили еще девять уязвимостей в стеках TCP/IP, широко используемых в серверах, смарт-устройствах и промышленном оборудовании. Новые проблемы, объединенные под именем NAME:WRECK, связаны с обработкой DNS-трафика и грозят отказом в обслуживании (DoS) либо захватом контроля над уязвимой системой.

Наличие уязвимостей NAME:WRECK подтверждено для четырех из семи новых TCP/IP-стеков, подвергнутых проверке в рамках Project Memoria:

FreeBSD (компонент одноименной операционной системы);
Nucleus NET (часть Nucleus RTOS);
IPnet (обычно используется с VxWorks RTOS);
NetX (обычно используется ThreadX RTOS).

Все упомянутые ОС, за исключением разработки VxWorks, работают на миллиардах сетевых и IoT-устройств. С учетом того, что DNS-клиент, как правило, доступен из интернета, площадь атаки в данном случае очень велика. Если хотя бы 1% из 10 млрд таких установок уязвимы, проблема NAME:WRECK, по оценке Forescout, затрагивает как минимум 100 млн устройств, используемых в госсекторе, здравоохранении, промышленном производстве, индустрии развлечений и розничной торговле.

Большинство уязвимостей NAME:WRECK вызваны некорректной реализацией схемы сжатия сообщений, передаваемых по протоколу DNS (RFC 1035, раздел 4.1.4). Эту же проблему исследователи ранее обнаружили в библиотеках Trec TCP/IP, uIP и PicoTCP — на этапах Ripple20 и Amnesia:33.

Почти все новоявленные бреши имеют CVE-идентификаторы; степень их опасности различна. Так, DoS-уязвимость CVE-2020-27738 в Nucleus NET получила 6,5 балла по шкале CVSS, RCE-баг FreeBSD (CVE-2020-7461) — 7,7 балла, а такой же в IPnet (CVE-2016-20009) — 9,8 балла из 10 возможных.

Некоторые уязвимости NAME:WRECK можно использовать лишь из положения «человек посередине» (MitM), другие — ковровой бомбардировкой уязвимых систем умышленно искаженными DNS-запросами.

Патчи вышли для трех библиотек из приведенного выше списка; давнюю уязвимость в IPnet разработчик (Wind River) так и не удосужился закрыть. Стоит отметить, что выпуска заплатки для таких компонентов мало. Производители сетевых устройств должны интегрировать ее в свои прошивки и предоставить пользователям обновления, а те — не полениться и скачать новую прошивку (OTA-обновление в таких случаях большая редкость).

В итоге процесс латания брешей на местах может длиться годами, и единственным радикальным решением является замена оборудования. К сожалению, далеко не все пользователи осознают, что их сервер, смарт-устройство или принтер использует уязвимый TCP/IP-стек, поэтому необходимость обновления прошивки для них неочевидна.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 08 Апреля 2026 - 08:54

Соответствие законодательству РФ Корпорации Государство

Российское ПО с начала года подорожало на 10-20%

Цены на российское ПО с начала 2026 года выросли на 10–20%. Это связано с сохраняющейся высокой ключевой ставкой Банка России, ростом налоговой нагрузки и затрат на персонал, а также с резким подорожанием оборудования. В среднем рост цен составил 10–20%, но по отдельным направлениям он может быть и выше.

Такую оценку привёл «Коммерсантъ» на основе анализа изменений в предложениях ИТ-компаний и интеграторов.

«В отдельных сегментах — нишевые ИТ-решения, ИБ, инфраструктурное ПО — рост цен достигает 30%, особенно там, где ограниченная конкуренция. Базовое ПО прибавило 10–15% к стоимости лицензий и поддержки, сложные и дефицитные решения — 15–25%», — прокомментировал ситуацию на рынке ИТ-директор «СКБ Контур» Артём Прескарьян.

Среди основных причин подорожания участники рынка называют сохраняющийся высокий уровень ключевой ставки Банка России, рост налоговой нагрузки и расходов на персонал, а также продолжающийся рост цен на ИТ-оборудование и комплектующие. Так, стоимость некоторых видов серверного оборудования за год удвоилась. Дополнительное влияние оказали ужесточение требований со стороны заказчиков и низкий уровень конкуренции в ряде ниш.

При этом, по мнению директора департамента e-commerce ГК «КОРУС Консалтинг» Марии Бар-Бирюковой, часть компаний начала превентивно повышать цены ещё осенью, когда стало известно об отмене льгот для ИТ-отрасли. Это вызвало эффект «инфляции ожиданий»: некоторые вендоры заранее заложили в стоимость продуктов возможные потери из-за роста налоговой нагрузки. Однако после отмены наиболее жёсткой меры — лишения отрасли льгот по НДС — значительного скачка цен удалось избежать.

Директор практики «Технологическая трансформация» «Рексофт Консалтинг» Алексей Богомолов назвал важным фактором роста цен на ПО подорожание ИТ-оборудования, прежде всего серверного. Это общемировой процесс, вызванный перераспределением спроса на различные виды памяти на фоне бума искусственного интеллекта.

Директор по развитию ИИ «Группы Астра» Станислав Ежов назвал такую ситуацию серьёзным вызовом для всей отрасли центров обработки данных:

«Для дата-центров это прямой удар по себестоимости сразу с трёх сторон: дорожает оборудование, растут тарифы на электроэнергию, дорожает строительство. Часть операторов уже подняли тарифы, и это будет продолжаться».

Ситуацию осложняет и то, что значительная часть ЦОД, как напомнил Станислав Ежов, работает на оборудовании с истекающим ресурсом, которое необходимо срочно заменять. Это уже приводит к массовым отказам техники.

В комментарии для издания Минцифры сообщило, что выступает за саморегулирование в сфере ценообразования. При этом ведомство оставляет за собой возможность при необходимости применять дополнительные инструменты регулирования.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!