Проблеми безпеки IoT: дослідник виявив серйозні уразливості в MatrixSSL



SSL — основний інструмент забезпечення безпеки в інтернеті, що дозволяє організовувати захищений обмін даними навіть у ненадійна мережі. Однак реалізація сталого SSL — не така вже й легке завдання, помилки в рішенні якої можуть призводити до масштабних проблем, таких, як вразливість Heartbleed.

У сфері інтернету речей існує власна реалізація SSL — MatrixSSL, і як показує практика, з рівнем її захищеності не все добре.

У чому проблема

Подібні уразливості піднімають питання реалізації підходів безпечної розробки та недоліків процесів проектування, застосовувалися творцями багатьох реалізацій SSL. В розпал скандалу з Heartbleed навіть звучали заклики відмовитися від використання OpenSSL на користь NSS, GnuTLS і Polar SSL. Що стосується пристроїв так званого інтернету речей (Internet of Things, IoT), то в цьому випадку багато експертів з безпеки рекомендували використовувати MatrixSSL — компактний SSL/TLS стек, розроблений спеціально для застосування в сфері IoT.

Проте в 2015 році було опубліковано дослідження SEC Consult, автори якого зуміли виявити більше 80000 підключених до мережі пристроїв, які використовували одні й ті ж ключі шифрування, опубліковані в домашньому репозиторії MatrixSSL. Ще десятки тисяч пристроїв на базі MatrixSSL можна знайти з допомогою пошуковика Shodan.

Такі пристрої часто — це мережеве обладнання начебто WiMAX-шлюзів або кабельних модемів, інтернет-провайдерів. Це означає, що наявність критичних вразливостей в софті, що використовується цими пристроями, може призводити до масштабних інцидентів інформаційної безпеки.

І подібні уразливості були виявлені дослідниками — в 2016 році Флоріан Ваймер (Florian Weimer) і Ханно Бек (Hanno Böck) розкрили інформацію про криптографічних проблеми MatrixSSL — крім іншого була виявлена можливість викрадення приватних ключів шифрування. Після спілкування з Беком, ІБ-дослідник компанії Tripwire Крейг Янг (Craig Young) вирішив уважніше вивчити рівень захищеності сертифіката X. 509 MatrixSSL.

За допомогою інструменту American Fuzzy Lop (AFL) йому вдалося обнаружить відразу кілька серйозних вразливостей. Серед знайдених проблем, переповнення буфера, що приводить до виконання коду (CVE-2016-6890), вразливість buffer over-read (CVE-2016-6891) і некоректна робота механізму звільнення пам'яті в модулі x509FreeExtensions() (CVE-2016-6892).

Дані помилки можуть призводити до серйозних проблем. Наприклад, у тому випадку, якщо система на базі MatrixSSL використовується для обробки ненадійних сертифікатів X. 509 — часта ситуація при аутентифікації клієнтського додатка, то атакуючий може отримати можливість здійснення віддаленого виконання коду. Для роутер або IoT-пристроїв це означає практично гарантований повний доступ з привілеями суперкористувача (root користувача.

Як захиститися

За словами Янга, виробники, які використовують у своїх продуктах MatrixSSL, були повідомлені про виявлені вразливості у вересні, і вже працюють над патчами. Вендори і приватні користувачі MatrixSSL можуть завантажити оновлену прошивку з офіційного GitHub-репозиторію Matrix SSL. Виправлення знайдених помилок включені в комміт b8dcfd875923da5a65ecfdbbe790ed63b1d33de3 для релізу 3.8.6.

На жаль, багато пристрою на базі MatrixSSL, що використовуються в корпоративних мережах, ніколи не будуть оновлені — не всі IoT-виробники в результаті випустять патчі, а в разі відсутності автоматичного оновлення самі користувачі навряд чи будуть цим займатися.

Все це піднімає важливе питання — замість обговорення більш надійних інструментів забезпечення захисту в інтернеті і необхідності пошуку їх заміни, набагато перспективніше думати про реалізацію більш просунутих механізмів розповсюдження оновлень і впровадження підходів безпечної розробки софта.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.