Специалист по безопасности беспроводных сетей Матеус Гарбелини (Matheus Garbelini) выложил в открытый доступ описание трёх возможных атак на популярное семейство микроконтроллеров ESP32/8266, имеющих в составе собственный Wi-Fi контроллер.

Ранее он уведомил об этом Espressif Systems, благодаря чему, китайская компания уже исправила большинство уязвимостей. Так что, если вы используете оборудование с любым из данных чипов, вам лучше как можно быстрее загрузить новую прошивку.

Исследователь по безопасности Матеус Гарбелини обнаружил три уязвимости в Wi-Fi модулях популярных микроконтроллеров для IoT-устройств ESP32 и ESP8266

Первая уязвимость наиболее проста для реализации и затрагивает только ESP8266. При подключении к точке доступа последняя отправляет ESP8266 пакет «AKM suite count», который содержит количество методов аутентификации, доступных для соединения.

Поскольку ESP не выполняет проверку границ для этого значения, поддельная точка доступа может отправить слишком большое число, что приведёт к переполнению буфера и сбою ESP. Таким образом, если вы можете отправить ESP8266 фальшивый маячковый или ответный фрейм в зависимости от режима работы Wi-Fi точки, то вы просто выведите ESP чип из строя.

Схема проведения атаки, которая может привести к сбою в ESP8266

Вторая и третья уязвимости используют ошибки в обработки протокола EAP, который чаще всего используется в корпоративных сетях и сетях требующих повышенной безопасности. При этом одна приводит к сбою в работе ESP32 и ESP8266 в сетях с поддержкой EAP, а другая к полному взлому и перехвату зашифрованной сессии. Эти уязвимости вызывают особое беспокойство, так как перехват сессии куда как более опасен, чем простой сбой в работе устройства.

Новая прошивка для ESP32 уже получила необходимое исправление, но более старый ESP8266 всё ещё уязвим к подобной атаке. Таким образом, если вы используете ESP8266 в сети с аутентификацией на базе EAP, то на данный момент вы уязвимы. Точно не известно сколько устройств ESP8266 в мире на данный момент работают с использованием протокола EAP, пусть это и довольно старый микроконтроллер, но очень хотелось бы, чтобы Espressif всё-таки залатали эту дыру в безопасности своего продукта.

Диаграмма механизма атаки на микроконтроллеры EPS8266 и EPS32 при использовании протокола EAP

Матеус рекомендует всем, кто использует устройства на базе ESP8266 в сети с аутентификацией через EAP и не может это никак изменить, как минимум зашифровать и подписать все свои данные, чтобы предотвратить атаки направленные на их перехват.

Так как Матеус в первую очередь уведомил о уязвимостях Espressif Systems, большинство из них уже исправлено. Необходимый патч уже попал даже в последнюю версию ESP-компонетов для IED Arduino, но для некоторых встроенных устройств обновить прошивку может оказаться не так просто, вплоть до необходимости её ручной перекомпиляции.

Казалось бы, какое отношение китайцы имеют к процессорами Intel Xeon? Да ещё к защите от атак? Не их ли обвиняют во всех грехах и запрещают подвоз серверных процессоров Intel в Поднебесную? Как оказалось, Intel весьма плотно сотрудничала с Университетом Цинхуа (Tsinghua University) в процессе создания технологии аппаратной защиты серверных процессоров от любых потенциально возможных атак и уязвимостей. Неужели такое возможно? Утверждается, что да.

На конференции Hot Chips 31 группа Jintide представила однокорпусное решение размером с процессор Skylake, но очень непростое внутри (все представленный слайды с сайта AnandTech). В корпус процессора оказались заключены три кристалла: обычный Xeon с числом ядер до 24 штук и два 28-нм чипа разработки Jintide. Также в системе используются модифицированные модули памяти, хотя сами слоты памяти — обычные LRDIMM. Заявлено, что вся эта комплексная система теряет не больше 10 % производительности, но зато она минимально уязвима для всех известных и ещё неизвестных уязвимостей как аппаратных (архитектурных), так и программных.

Идея разработки заключается в том, что все вычислительные потоки в процессоре и в памяти находятся под постоянным наблюдением специальных блоков (чипов). Трассировка происходит в самом процессоре и в буферах памяти. Частота выборки 1 Гц, длительность выборки ― 100 мкс.

Любая враждебная активность, отклонение от ожидаемого поведения или другое ненормальное поведение вычислительных потоков немедленно изолируются или доводятся до сведения пользователю (системе). Современные процессоры настолько сложны, утверждают разработчики, что защитить их от всех векторов атак невозможно в принципе. Чтобы вычисления считать доверенными, необходимо только одно ― наблюдать, следить и контролировать все вычислительные потоки.

За мониторингом вычислительных потоков в процессоре следят встроенные чипы RCP (re-configurable processor, процессор с изменяемой конфигурацией) и ITR (трассировка ввода/вывода). Соответствующие  буферы и решения для трассировки обращения к памяти также встроены в чипы и модули памяти DDR4.

Кстати, одного-единственного сценария на все виды уязвимостей не существует. Но возможность перепрограммировать RCP и ITR позволит защитить процессор от обнаруженных новых уязвимостей без снижения производительности, что невозможно для современных решений с программными патчами.

Чипы и вычислительные ядра соединяются линиями PCIe 3.0. Всего поддерживаются до 48 линий PCIe 3.0, что допускает конфигурации до 4 Xeon на одной плате. Уровень TDP решения: от 145 до 205 Вт. Процессор поддерживается обычным чипсетом Intel C620. Готовые системы предлагает компания Lenovo.

Компания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar appScreener 3.2 (прежнее название — Solar inCode).

Solar appScreener представляет собой инструмент статического анализа кода, предназначенный для выявления уязвимостей и недекларированных возможностей (НДВ) в программных продуктах. Поддерживается анализ приложений, написанных более чем на 25+ языках программирования или скомпилированных в одном из 7 различных расширений исполняемых файлов, в том числе для Windows, macOS, Android и iOS. Доступна интеграция с различными средами разработки, средствами автоматизированной сборки ПО и системами отслеживания ошибок. Продукт можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака компании «Ростелеком-Solar».

Обновлённый программный комплекс Solar appScreener 3.2 получил поддержку популярного в нашей стране языка приложений «1С» и возможность работы с реестром банка данных угроз безопасности информации ФСТЭК России. Также в продукте появились средства интеграции с платформой Azure DevOps Server 2019, поддержка фреймворка ASP.NET и широко используемого в офисных, бухгалтерских и прочих пакетах языка программирования VBA (Visual Basic for Applications).

«Благодаря поддержке языка «1С» новая версия нашего анализатора может выявлять уязвимости и НДВ в приложении, с которым работают практически все российские организации, — «1С:Предприятие». При этом на каждом конкретном предприятии используются кастомизированные конфигурации этого ПО, которые реализуются многочисленными партнёрами «1С». В процессе разработки модификаций и новых версий в приложение могут быть случайно внесены уязвимости или умышленно заложены НДВ», — говорится в заявлении разработчика Solar appScreener.

Более подробную информацию о возможностях сканера программного кода можно найти на сайте rt-solar.ru/products/solar_appscreener.

Материалы по теме:

• Microsoft выпустила пакет средств разработки для квантовых компьютеров;
• Сканер программного кода Solar inCode получил сертификат ФСТЭК России;
• Эксперты: российский рынок разработки ПО демонстрирует рост при острой нехватке инвестиций.

Источник:

• rt-solar.ru

Эксперты «Лаборатории Касперского» исследовали контроллер для управления экосистемой «умного» дома и обнаружили в нём ряд опасных уязвимостей.

Специалисты «Лаборатории Касперского» нашли опасные «дыры» в продукции компании Fibaro. Наиболее серьёзными оказались проблемы в облачной инфраструктуре устройства, а также потенциальная возможность удалённого исполнения вредоносного кода. С помощью этих программных уязвимостей злоумышленник может получить права суперпользователя и начать манипулировать системой «умного» дома в своих целях.

Атаки, как отмечается, могут быть осуществлены через протокол беспроводной коммуникации Z-Wave, широко использующийся в решениях домашней автоматизации, а также через веб-интерфейс в панели администратора.

Впрочем, компания Fibaro уже устранила обнаруженные бреши и обновила протоколы безопасности.

«Мы настоятельно рекомендуем всем пользователям Fibaro установить последние обновления: они повышают функциональность системы и делают её более устойчивой к взлому. Также мы советуем всегда сверять информацию из получаемых электронных сообщений с актуальными объявлениями на сайте компании», — заявляет Fibaro. 

Продажи устройств для смарт-жилищ устойчиво растут. Так, в прошлом году, по оценкам  International Data Corporation (IDC), в глобальном масштабе было реализовано 656,2 млн всевозможных гаджетов и приборов для современного «умного» дома. В текущем году, как ожидается, отгрузки устройств для смарт-жилища поднимутся на 26,9 % по сравнению с прошлым годом. В результате объём отрасли достигнет 832,7 млн единиц.

Гордость компании AMD ― технология защиты памяти виртуальных машин Secure Encrypted Virtualization (SEV) ― оказалась подвержена атаке и взлому. Технология SEV и её аппаратная реализация появились в серверных платформах AMD EPYC. Как и технология Intel SGX (Software Guard Extensions), реализация AMD SEV защищает пользователей (отдельные виртуальные машины) удалённых сервисов от доступа к приватным данным со стороны соседей по сервису (других клиентов ресурса) и со стороны администраторов сервиса. Однако технология AMD SEV выглядит более защищённой, чем Intel SGX. Если Intel SGX создаёт защищённые и недоступные для чужого глаза регионы в виртуальной памяти, то AMD SEV на лету шифрует приватные данные в памяти процессора, выдавая в память виртуальной машины блоки данных, которые нельзя прочитать даже с ключом гипервизора (ключ гипервизора позволяет считать данные в общей памяти виртуальной машины).

Как выяснили исследователи компании Google, механизм AMD SEV оказался не безупречен. В общем случае в защите AMD SEV используются данные об эллиптических кривых (ECC), утверждённые организацией NIST и получившие распространение в криптографии около 15 лет назад. С помощью уязвимости CVE-2019-9836 злоумышленник может восстановить параметры кривой, задействованной для шифрования приватного гостевого ключа, и отправить для запуска виртуальной машины параметры кривой, не соответствующие рекомендациям NIST. Серия «неправильных» последовательностей и изученный отклик системы дают возможность получить закрытый Platform Diffie-Hellman (PDH) ключ. Этот ключ считался «невидимым» для ОС и приложений. Он генерируется виртуальной машиной на основе точек с эллиптической кривой. Подмена контрольных точек, тем самым, даёт в руки хакера PDH-ключ и возможность восстановить сессионный (приватный) ключ и, соответственно, увидеть данные в защищённой области памяти чужой виртуальной машине. Даже если никто не взломает чужие VM, данный способ уже компрометирует технологию AMD SEV и поставщиков услуг на базе серверов с процессорами AMD EPYC.

Сообщается, что компания AMD ещё 4 июня выпустила исправление для прошивок процессоров AMD с фиксацией для защиты от уязвимости. Если в системе установлена прошивка SEV до версии 0.17 build 11, то компания настоятельно рекомендует обновить микрокод, который доступен по этой ссылке.

В профессиональной среде, занимающейся разработкой встраиваемых систем, решений для Интернета вещей и «умных» устройств, практически не развита культура киберзащиты аппаратной составляющей таких продуктов. Об этом свидетельствует исследование «Атаки на встраиваемые системы», проведённое компанией BI.ZONE.

По мнению экспертов BI.ZONE, безопасность аппаратного обеспечения современных вычислительных устройств находится в крайне плачевном состоянии, и такое положение дел делает уязвимой практически любую IT-инфраструктуру.

«Можно провести прямые параллели с состоянием безопасности ПО 20 лет назад: надлежащий аудит отсутствует, редкие специалисты понимают, как разрабатывать защищённое «железо», не сформирован образ мышления, подразумевающий необходимость проверки безопасности аппаратной части, — говорят исследователи. — Ситуация усугубляется тем, что уязвимости в «железе» нельзя исправить выпуском обновления, как это делается с софтом. Производитель здесь не поможет: допущенные ошибки останутся на весь срок эксплуатации устройства, а это может быть и десять лет, и пятнадцать, и больше, что категорически неприемлемо для критически важной инфраструктуры».

Классификация атак на встраиваемые системы (источник: BI.ZONE)

В опубликованном BI.ZONE отчёте подчёркивается, что от безопасности аппаратной части зависят многие отрасли. Дешёвые копии сложного продукта могут разорить компанию-инноватора, сбой автоматизированных систем управления грозит в лучшем случае простоем производства, а незаконное манипулирование светофорами, медицинским оборудованием, диспетчерскими системами в авиации и на железной дороге способны привести к катастрофическим последствиям для общества. Всё это свидетельствует о серьёзности ситуации и необходимости проактивного подхода в вопросе безопасности аппаратного обеспечения, как на уровне отдельного разработчика «железа», так и индустрии в целом.

Подробнее с результатами исследования компании BI.ZONE можно ознакомиться на сайте bi.zone/research/attacks_on_hardware. Документ будет интересен всем, кто так или иначе связан со встраиваемыми системами: программистам, специалистам электронной и компьютерной инженерии, администраторам и руководителям.

Материалы по теме:

• Атаки в киберпространстве происходят каждые 14 секунд;
• Cisco Systems представила защищённое оборудование Heavy Duty для IoT-сетей;
• Выявлены опасные «дыры» в платформе управления производственными процессами B&R APROL.

Источник:

• bi.zone

Компания Positive Technologies сообщает об обнаружении опасных уязвимостей в системе управления производственными процессами APROL австрийской компании B&R Automation.

Названная платформа применяется в различных отраслях. Это, в частности, нефтегазовая, энергетическая и машиностроительная сферы. Кроме того, система востребована в ряде других областей.

Итак, сообщается, что «дыры» выявлены в двенадцати компонентах системы APROL. Так, найдены ошибки доступа к памяти в компоненте TbaseServer, ошибки в компонентах AprolLoader и AprolSqlServer, SQL-инъекции в системе контроля и учёта энергопотребления EnMon, возможность внедрения произвольных команд в веб-сервере.

«Возможность выполнения произвольного кода в операционной системе компонентов АСУ ТП позволяет злоумышленнику негативно влиять на технологический процесс. Например, атакующий может несанкционированно отправлять команды управления оборудованием, изменять параметры конфигурации, в том числе программные алгоритмы. Такие изменения могут привести к нештатному режиму работы вплоть до возникновения аварийной ситуации на производстве», — говорят специалисты Positive Technologies.

Впрочем, нужно отметить, что обнаруженные уязвимости уже устранены. Для обеспечения безопасности пользователям APROL необходимо инсталлировать последнюю версию системы. 

Работающая на рынке IT-безопасности компания «Смарт Лайн Инк» анонсировала новый сервис, использующий технологии машинного обучения и системы искусственного интеллекта на базе нейронных сетей для поиска уязвимостей систем хранения данных в корпоративной среде, мониторинга мошеннических ресурсов и активностей в DarkNet.

Разработанное «Смарт Лайн Инк» решение осуществляет проверку внешней серверной инфраструктуры, а также выявление недостатков в реализации систем хранения информации. В рамках регулярных обследований проводится поиск серверов с текущими или архивными данными, журналами информационных систем, а также анализ обнаруженных данных с помощью механизмов машинного обучения на наличие в них чувствительной информации, включая персональные данные, информацию с признаками коммерческой тайны и другие сведения. Кроме того, ИИ осуществляет постоянный мониторинг предложений о продаже данных в группах Telegram, на различных закрытых площадках и форумах, а также ресурсах в DarkNet.

По итогам мониторинга система формирует отчёт с указанием выявленных открытых данных и уязвимостей, а также рекомендаций специалистов компании «Смарт Лайн Инк» по их устранению. Также возможно оперативное уведомление владельца данных непосредственно в момент обнаружения открытых ресурсов — по электронной почте или через мессенджеры.

По словам представителей разработчика «Смарт Лайн Инк», проблема доступа к базам данных организаций через уязвимости или ошибки конфигурации приобретает всё большую актуальность. «Если раньше такие базы копировались и выставлялись на продажу, то теперь хакерские группировки стали уничтожать данные и требовать у владельцев выкуп», — говорится в заявлении компании.

Материалы по теме:

• Вышла новая версия системы контроля рабочих станций сотрудников StaffCop Enterprise 4.0;
• DLP-система Solar Dozor 6.4 получила новые инструменты расследования инцидентов;
• InfoWatch разработала платформу для интеграции DLP-системы и корпоративных решений сторонних производителей.

Источник:

• devicelock.com

Компания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar appScreener 3.1 (прежнее название — Solar inCode).

Solar appScreener представляет собой инструмент статического анализа кода, предназначенный для выявления уязвимостей и недекларированных возможностей (НДВ) в программных продуктах. Поддерживается анализ приложений, написанных более чем на 25+ языках программирования или скомпилированных в одном из 7 различных расширений исполняемых файлов, в том числе для Windows, macOS, Android и iOS. Доступна интеграция с различными средами разработки, средствами автоматизированной сборки ПО и системами отслеживания ошибок. Продукт можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака компании «Ростелеком-Solar».

Обновлённый программный комплекс Solar appScreener 3.1 получил улучшенный пользовательский интерфейс, функции разделения ролей комментирования и редактирования результатов сканирования, поддержку языков TypeScript и VBScript, расширенную базу правил поиска уязвимостей и усовершенствованные инструменты обработки результатов анализа кода. Кроме того, в продукте реализована поддержка Apeх — языка самой популярной в мире CRM-системы Salesforce.

Solar appScreener внесён в реестр отечественного ПО, сертифицирован ФСТЭК России на соответствие требованиям к программному обеспечению по 4 уровню контроля отсутствия НДВ и может использоваться для замещения зарубежных аналогов. Более подробную информацию о возможностях продукта можно найти на сайте разработчика rt-solar.ru.

Материалы по теме:

• Microsoft выпустила пакет средств разработки для квантовых компьютеров;
• Сканер программного кода Solar inCode получил сертификат ФСТЭК России;
• Эксперты: российский рынок разработки ПО демонстрирует рост при острой нехватке инвестиций.

Источник:

• rt-solar.ru

Исследование, проведённое компанией Positive Technologies, говорит о том, что число уязвимостей в автоматизированных системах управления технологическим процессом (АСУ ТП) за последний год резко выросло.

Отмечается, что общее количество компонентов АСУ ТП, доступных в Интернете, в 2018-м поднялось на 27 % и теперь составляет более 220 тысяч. Наибольшее число таких систем находятся в США (95 661), Германии (21 449) и Китае (12 262).

Любопытно, что Россия демонстрирует одни из самых высоких в мире темпов роста количества компонентов АСУ ТП, доступных через Сеть: число таких объектов подскочило с 892 в 2017 году до 3993 в 2018-м.

Вместе с тем ухудшается и ситуация с безопасностью. Количество обнаруженных уязвимостей в компонентах АСУ ТП за год поднялось практически на треть — на 30 %.

Более половины «дыр» (58 %) позволяют атакующему оказывать комплексное воздействие на устройство — нарушить конфиденциальность, целостность и доступность. Ситуация усугубляется тем, что в большинстве случаев злоумышленнику не требуется никаких специальных условий, чтобы осуществить атаку.

Около 75% уязвимостей связаны с возможным нарушением доступности (полным или частичным) компонентов АСУ ТП. Эксплуатация таких уязвимостей, к примеру, в сетевом оборудовании может негативно повлиять на технологический процесс, нарушив передачу команд между компонентами.

Говорится также, что во многих случаях проблема связана с некорректной аутентификацией или избыточными правами. Зачастую такие «дыры» могут эксплуатироваться удалённо.

Более подробную информацию об исследовании можно найти здесь.