26 января 2021

Двадцатая для Ripple20: уязвимость встроенного веб-сервера модульных сетевых адаптеров для IoT

Уязвимость переполнения буфера в куче веб-сервера Treck затронула модульные сетевые адаптеры (Bus Coupler Modules) серии TM3 производства Schneider Electric.

Модульные сетевые адаптеры TM3 BC используются для организации распределенного ввода-вывода в IoT инфраструктуре совместно с другими устройствами (контроллерами, модулями расширения, коммуникационными модулями). Веб-сервер используется для конфигурирования устройства, к примеру, как показано в этом видео производителя. Очевидно, эксплуатация уязвимости переполнения возможна только для функции, доступной при обращении к веб-серверу через USB RNDIS интерфейс устройства. Именно его использование производитель рекомендует свести к минимуму до исправления ошибки.

Традиционно для этого типа уязвимостей, эксплуатация может привести к отказу в обслуживании (но не указано, сервера или устройства в целом) и возможному исполнению произвольного кода. Рейтинг CVSS v3.1 присвоен равным 10. Отсутствие необходимой авторизации для атаки можно связать как с возможностью использования оборудованием пароля по умолчанию (что очевидно из видео), так и с ошибкой в механизме авторизации или в функциях, доступных без авторизации.

Интересно, что сторонний веб-сервер Treck среди прочих продуктов Treck Inc. позиционируется производителем как безопасный и высокоэффективный. Это однако не подтверждается множеством уведомлений об уязвимостях и характере обнаруживаемых уязвимостей в продуктах Treck Inc. Недавний набор из 19 уязвимостей в стеке этого производителя, известный под общим названием Ripple20, по оценкам экспертов будет годами оказывать влияние на безопасность IoT.

К чести Treck Inc., перечень опубликованных уведомлений об уязвимостях его продуктов можно найти непосредственно на сайте. Правда, это только отчасти компенсирует проблемы с устройствами IoT, для которых производители вынуждены рекомендовать их изоляцию вопреки назначению этих устройств — обеспечивать непрерывную и прозрачную поставку данных из физического мира в виртуальный и обратно.

Дата публикации информации об уязвимости: 18 декабря 2020 года, в официальном уведомлении ошибочно указана дата 18 октября.

Источник: NIST, Sсhneider Electric