Pesquisadores de segurança descobriram que milhões de dispositivos IoT (Internet das Coisas) de vigilância alimentados por chips HiSilicon têm um backdoor que dificilmente será corrigido tão cedo, já que a Huawei tem pouco controle sobre implementações de firmware de terceiros.
A maioria dessas empresas usa equipamentos que são afetados por pelo menos 33 vulnerabilidades recém-descobertas, a maioria das quais provavelmente nunca será corrigida.
Pesquisadores encontraram 33 falhas que afetam milhões de dispositivos IoT
Um novo relatório do Forescout Research Labs revelou que uma nova série de vulnerabilidades afetará dispositivos de mais de 150 fornecedores.
Coletivamente apelidadas de “Amnesia:33”, as falhas afetam quatro pilhas TCP/IP de código aberto: uIP, picoTCP, FNET e Nut/Net; o mais vulnerável é o uIP, que é usado pela maioria dos fornecedores da lista.
O número de dispositivos potencialmente afetados é enorme, pois inclui wearables, smartphones, consoles de jogos, impressoras, roteadores, switches, câmeras IP, sistemas HVAC, quiosques de auto-checkout, caixas eletrônicos, leitores de código de barras, computadores de placa única (como o Raspberry Pi), eletrodomésticos e sensores inteligentes, servidores e muitos outros dispositivos de consumo, empresariais e industriais.
Se exploradas, as 33 vulnerabilidades permitem que os invasores executem uma ampla gama de ataques maliciosos, como negação de serviço, execução remota de código, envenenamento do cache DNS para redirecionar para um domínio malicioso e vazamento de informações.
No entanto, as vulnerabilidades Amnesia:33 afetam bibliotecas de código aberto usadas em uma miríade de dispositivos de uma variedade de empresas diferentes, o que os torna muito mais difíceis de corrigir.
Cinco das falhas existem há 20 anos, e muitos dos dispositivos afetados usam chips de fornecedores que oferecem pouca documentação e alguns dos quais não estão mais no mercado.
Tech Spot