Эксперты обнаружили серьезные уязвимости в модемах для интернета вещей

[душман]

Эксперты обнаружили критические уязвимости в сотовых модемах Cinterion, которые часто используются в составе устройств интернета вещей. Уязвимости позволяют злоумышленникам без авторизации удаленно выполнять произвольный код, установили в «Лаборатории Касперского».

Рискам доступности и целостности оказались подвержены разнообразные устройства интернета вещей, медицинское оборудование, автомобили, банкоматы и платежные терминалы, прочее оборудование, используемое в различных сферах деятельности и секторах экономики.

Наибольшие опасения вызывает уязвимость, которая позволяет злоумышленникам удаленно, при помощи отправки СМС, выполнять произвольный код, имеющий неограниченный доступ к ресурсам устройства и операционной системы — без аутентификации или необходимости получать физический доступ к модему.

«С учетом распространенности устройств, в которых мы обнаружили уязвимости, можно говорить о глобальных масштабах возможных экономических и операционных последствий атак на модемы и о рисках физической безопасности. Такие модемы, как правило, интегрируются в конечное решение по принципу “матрешки” с высокой степенью вложенности — продукт одного вендора входит составной частью в продукт другого. 

Производители при этом не стремятся раскрывать компонентную базу, поэтому составить список конечных продуктов, которые могут быть затронуты, сложно. Вендорам придется приложить значительные усилия для снижения рисков, при этом зачастую что-то можно будет сделать только с привлечением операторов связи», — подчеркнул руководитель центра исследования безопасности промышленных систем в ЛК Евгений Гончаров.