Исследователи нашли способ вмешаться в работу M2M-стандартов, используемых в промышленности и IoT-устройствах.
Специалисты Trend Micro проанализировали работу двух базовых M2M-протоколов, использующихся для межмашинного взаимодействия, и выявили в них несколько недостатков, которые можно использовать в кибератаках. Как утверждают исследователи, эксплуатируя слабые стороны сетевых стандартов, злоумышленники способны вызывать отказ в обслуживании использующих их устройств или выполнить на них сторонний код.
ИБ-специалисты рассматривали протокол MQTT (Message Queuing Telemetry Transport), используемый для передачи данных телеметрических датчиков, и сетевой стандарт CoAP (Constrained Application Protocol), применяемый для коммуникаций между IoT-устройствами.
Как пояснили эксперты, механизм «издатель-подписчик», применяемый MQTT для сбора данных с измерительных устройств, имеет проблему, связанную с некорректной обработкой некоторых Unicode-символов, включенных в передаваемые пакеты. В случае если разработчик прикладного решения не включил в его состав проверку корректности строк в формате UTF-8, злоумышленник может вызвать отказ в обслуживании, составив из них вредоносный запрос.
В качестве примера ненадлежащей реализации работы с протоколом исследователи привели уязвимость, обнаруженную в приложении Arduino Client for MQTT — ее выявили участники Zero Day Initiative. Баг, зарегистрированный как CVE-2018-17614, позволяет злоумышленнику выполнить сторонний код в контексте текущего процесса или вызвать отказ в обслуживании через отправку пакетов вида MQTT PUBLISH. Проблема связана с отсутствием проверки размера передаваемого блока данных перед его размещением в буфере ограниченного объема.
Относительно молодой стандарт CoAP, официально выпущенный в 2014 году, основан на транспортном протоколе UDP и унаследовал некоторые его недостатки, в частности, возможность спуфинга IP-адреса, нередко используемого злоумышленниками в DDoS-атаках. Кроме того, архитектура CoAP, основанная на схеме «запрос-ответ», обладает мультиплицирующим эффектом, что дает возможность киберпреступнику увеличить итоговый мусорный поток более чем в 30 раз.
Межмашинное взаимодействие является основой Интернета вещей, который переживает взрывной рост. Эксперты Juniper Research предполагают, что к 2022 году количество IoT-устройств в мире достигнет 50 млрд, а системы, состоящие из умного оборудования, будут насчитывать сотни тысяч приборов. Ранее в прогнозе на 2018 год «Лаборатория Касперского» связала с IoT-устройствами пять из восьми основных угроз.