Tweet
Lỗ hổng chồng giao thức TCP/IP là mối nguy hại cho các thiết bị IoT
Lỗ hổng gần đây nhất về việc chồng giao thức kết nối, gây hại đến cái hệ điều hành mã nguồn mở, máy in và thiết bị y tế IoT.
Các công ty phân phối giải pháp bảo mật, Forescout và JSOF Research, tiết lộ rằng một loạt cái lỗ hổng về chồng giao thức TCP/IP đã ảnh hưởng lên FreeBSD và 3 hệ điều hành thời gian thực phổ biến dành cho thiết bị IoT. Và 9 lỗ hổng này có thể gây ảnh hưởng đến 100 triệu thiết bị.
Nucleus NET, IPNet và NetX là tên 3 hệ điều hành bị ảnh hưởng bởi lỗ hổng này. Trong một bản báo cáo chung của Forescout và JSOF, các lỗ hổng này được đặt tên là Name:Wreck.
Trong bản báo cáo, Forescout chỉ ra các nguyên nhân các chồng giao thức TCP/IP mang rủi ro cao: Do chúng được sử dụng rộng rãi và lâu dài, cộng với việc các hàm và giao thức không được xác thực khi qua vành đại mạng (network perimeter) (hệ thống tường lửa, VPN, …)
DNS cũng gặp vấn đề tương tự, và có thể bị lợi dụng qua lỗ hổng Name:Wreck.
Trong bản báo cáo ghi rằng: “DNS là một giao thức phức tạp và có nhiều lỗ hổng trong lúc thực thi, và kẻ xấu có thể tận dụng các lỗ hổng này để đồng thời kiểm soát hàng triệu thiết bị.
Name:Wreck cho phép tấn công DoS và thực hiện chạy mã lệnh từ xa, điều này khả năng cao do việc phép thực hành lập trình kém trong việc phân tích lệnh ở các nội dung phản hồi DNS, theo Eric Hanselman, nhà phân tích nghiên cứu trưởng trong 451 Research. Giá trị key được sử dụng để nén các phản hổi DNS thành các gói nhỏ và dễ di chuyển, không được xác thực bởi hệ thống, và có thể bị lợi dụng bởi kẻ xấu.
Độ nguy hiểm được phân biệt bởi chồng giao thức được sử dụng. Theo báo cáo, lỗ hổng của FreeBSD có thể gây ảnh hưởng rộng (hàng triệu hệ thống mạng, bao gồm Netfilx và Yahoo, và cả các thiết bị mạng truyền thống như router, tường lửa, nhưng dễ dàng sửa chữa.
“Đó là những hệ thống có thể kiểm soát được, chúng ta có thể cập nhật chúng”- Brian Kime, một nhà phân tích lâu năm tại Forrester, nói. “Và họ luôn phải ưu tiên sửa chửa, bởi vì hệ thống của họ là một phần trong hệ thống mạng của bạn”
Trong nhiều trường hợp, hệ điều hành thời gian thực không thể làm được điều trên một khi đã bị ảnh hưởng bới Name:Wreck, do các vấn đề cơ bản về bảo mật của thiết bị IoT vẫn còn tồn đọng. Khả năng vá lỗ hổng và cập nhật firmware vẫn chưa là tính năng tiêu chuẩn, và những công ty sản xuất bộ phận của thiết bị nhiều khi không còn hoạt động nữa.
Theo Hanselman, trong trường hợp các thiết bị IoT, việc bảo mật cần bắt đầu từ lớp network. Giám sát mạng trực tiếp để phát hiện các hoạt động bất thường là một khởi đầu tốt, nhưng trong trường hợp này (chồng giao thức TCP/IP) thì đôi khi rất khó phát hiện. Điều thật sự cần thiết là các kỹ thuật như bảo vệ truy vấn DNS.
“Giám sát DNS trở nên thịnh hành vì đó là một trong những các tốt nhất để phát hiện ransomware”, Hanselman nói. “Cái tổ chức nên thực hiện bảo vệ truy vấn DNS”.
Phạm vi hoạt động của các lỗ hổng này bị hạn chế bởi nhiều yếu tố, bao gồm khả năng kết nối Internet – không khả dụng với thiết bị y tế- và khả năng vá lỗi. Thêm vào đó, chưa có lỗ hổng nào được nghĩ là đã bị khai thác. Tuy nhiên, đối tượng chính cần quan sát là máy in.
Theo Kime, máy in rất dễ tiếp cận, do chúng phổ cập mọi nơi và thường không thu hút sự chú ý về vấn đề bảo mật, và một khi bị xâm nhập, chúng có thể giao cho kẻ tấn công quyền truy cập các thiết bị khác.
Name:Wreck không phải là lỗ hổng chồng giao thức TCP/IP duy nhất. Forescoute vaf JSOF đã phát hiện ra họ hàng của lỗ hổng này trong quá khứ, bao gồm Ripple 20, Amnesia:33 và Number:Jack chỉ trong năm ngoái, và các chuyên gia đồng tình rằng các lỗ hổng sâu hơn sẽ được đưa ra ánh sáng trong tương lai gần. Lý do đơn giản rằng không có nhiều chồng giao thức IP như ta tưởng, nhưng số chồng giao thức IP đó được sử dụng rộng rãi trong nhiều ứng dụng, và hầu hết được giả định là bảo mật.
Theo Hanselman, “Mọi người đều giả định việc họ có thể kéo chồng giao thức IP từ các nguồn cung cấp phần mềm mã nguồn mở yêu thích nào của họ, là các chồng giao thức ấy là được củng cố tốt” “Điều này có thể đúng hầu hết, nhưng chồng giao thức kết nối có thể phức tạp trong việc quản lý trang thái (state), và sẽ có những cách không ngờ đến mà kẻ tấn công có thể thao túng nó.”
Lỗ hổng gần đây nhất về việc chồng giao thức kết nối, gây hại đến cái hệ điều hành mã nguồn mở, máy in và thiết bị y tế IoT.
Các công ty phân phối giải pháp bảo mật, Forescout và JSOF Research, tiết lộ rằng một loạt cái lỗ hổng về chồng giao thức TCP/IP đã ảnh hưởng lên FreeBSD và 3 hệ điều hành thời gian thực phổ biến dành cho thiết bị IoT. Và 9 lỗ hổng này có thể gây ảnh hưởng đến 100 triệu thiết bị.
Nucleus NET, IPNet và NetX là tên 3 hệ điều hành bị ảnh hưởng bởi lỗ hổng này. Trong một bản báo cáo chung của Forescout và JSOF, các lỗ hổng này được đặt tên là Name:Wreck.
Trong bản báo cáo, Forescout chỉ ra các nguyên nhân các chồng giao thức TCP/IP mang rủi ro cao: Do chúng được sử dụng rộng rãi và lâu dài, cộng với việc các hàm và giao thức không được xác thực khi qua vành đại mạng (network perimeter) (hệ thống tường lửa, VPN, …)
DNS cũng gặp vấn đề tương tự, và có thể bị lợi dụng qua lỗ hổng Name:Wreck.
Trong bản báo cáo ghi rằng: “DNS là một giao thức phức tạp và có nhiều lỗ hổng trong lúc thực thi, và kẻ xấu có thể tận dụng các lỗ hổng này để đồng thời kiểm soát hàng triệu thiết bị.
Name:Wreck cho phép tấn công DoS và thực hiện chạy mã lệnh từ xa, điều này khả năng cao do việc phép thực hành lập trình kém trong việc phân tích lệnh ở các nội dung phản hồi DNS, theo Eric Hanselman, nhà phân tích nghiên cứu trưởng trong 451 Research. Giá trị key được sử dụng để nén các phản hổi DNS thành các gói nhỏ và dễ di chuyển, không được xác thực bởi hệ thống, và có thể bị lợi dụng bởi kẻ xấu.
Độ nguy hiểm được phân biệt bởi chồng giao thức được sử dụng. Theo báo cáo, lỗ hổng của FreeBSD có thể gây ảnh hưởng rộng (hàng triệu hệ thống mạng, bao gồm Netfilx và Yahoo, và cả các thiết bị mạng truyền thống như router, tường lửa, nhưng dễ dàng sửa chữa.
“Đó là những hệ thống có thể kiểm soát được, chúng ta có thể cập nhật chúng”- Brian Kime, một nhà phân tích lâu năm tại Forrester, nói. “Và họ luôn phải ưu tiên sửa chửa, bởi vì hệ thống của họ là một phần trong hệ thống mạng của bạn”
Trong nhiều trường hợp, hệ điều hành thời gian thực không thể làm được điều trên một khi đã bị ảnh hưởng bới Name:Wreck, do các vấn đề cơ bản về bảo mật của thiết bị IoT vẫn còn tồn đọng. Khả năng vá lỗ hổng và cập nhật firmware vẫn chưa là tính năng tiêu chuẩn, và những công ty sản xuất bộ phận của thiết bị nhiều khi không còn hoạt động nữa.
Theo Hanselman, trong trường hợp các thiết bị IoT, việc bảo mật cần bắt đầu từ lớp network. Giám sát mạng trực tiếp để phát hiện các hoạt động bất thường là một khởi đầu tốt, nhưng trong trường hợp này (chồng giao thức TCP/IP) thì đôi khi rất khó phát hiện. Điều thật sự cần thiết là các kỹ thuật như bảo vệ truy vấn DNS.
“Giám sát DNS trở nên thịnh hành vì đó là một trong những các tốt nhất để phát hiện ransomware”, Hanselman nói. “Cái tổ chức nên thực hiện bảo vệ truy vấn DNS”.
Phạm vi hoạt động của các lỗ hổng này bị hạn chế bởi nhiều yếu tố, bao gồm khả năng kết nối Internet – không khả dụng với thiết bị y tế- và khả năng vá lỗi. Thêm vào đó, chưa có lỗ hổng nào được nghĩ là đã bị khai thác. Tuy nhiên, đối tượng chính cần quan sát là máy in.
Theo Kime, máy in rất dễ tiếp cận, do chúng phổ cập mọi nơi và thường không thu hút sự chú ý về vấn đề bảo mật, và một khi bị xâm nhập, chúng có thể giao cho kẻ tấn công quyền truy cập các thiết bị khác.
Name:Wreck không phải là lỗ hổng chồng giao thức TCP/IP duy nhất. Forescoute vaf JSOF đã phát hiện ra họ hàng của lỗ hổng này trong quá khứ, bao gồm Ripple 20, Amnesia:33 và Number:Jack chỉ trong năm ngoái, và các chuyên gia đồng tình rằng các lỗ hổng sâu hơn sẽ được đưa ra ánh sáng trong tương lai gần. Lý do đơn giản rằng không có nhiều chồng giao thức IP như ta tưởng, nhưng số chồng giao thức IP đó được sử dụng rộng rãi trong nhiều ứng dụng, và hầu hết được giả định là bảo mật.
Theo Hanselman, “Mọi người đều giả định việc họ có thể kéo chồng giao thức IP từ các nguồn cung cấp phần mềm mã nguồn mở yêu thích nào của họ, là các chồng giao thức ấy là được củng cố tốt” “Điều này có thể đúng hầu hết, nhưng chồng giao thức kết nối có thể phức tạp trong việc quản lý trang thái (state), và sẽ có những cách không ngờ đến mà kẻ tấn công có thể thao túng nó.”