«Лаборатория Касперского» обнаружила серьёзные уязвимости в модемах Cinterion
Исследователи Kaspersky ICS CERT обнаружили критические уязвимости в сотовых модемах Cinterion, которые часто используются в составе различных IoT- и подключённых к сети решений. Уязвимости позволяют злоумышленникам без авторизации удалённо выполнять произвольный код, что представляет угрозу для миллионов разнообразных устройств. «Лаборатория Касперского» сообщила подробности о найденных уязвимостях на конференции OffensiveCon в Берлине в мае 2024 года.
Рискам доступности и целостности оказались подвержены разнообразные устройства интернета вещей, медицинское оборудование, автомобили, банкоматы и платёжные терминалы, прочее оборудование, используемое в различных сферах деятельности и секторах экономики.
Наибольшие опасения вызывает уязвимость CVE-2023-47610, связанная с переполнением буфера динамической памяти в обработчиках сообщений SUPL модема. Это позволяет злоумышленникам удалённо, при помощи отправки СМС-сообщений, выполнять произвольный код, имеющий неограниченный доступ к ресурсам устройства и операционной системы — без аутентификации или необходимости получать физический доступ к модему.
В ходе исследования также были обнаружены серьёзные проблемы с безопасностью мидлетов — Java-приложений, работающих на модемах. Злоумышленники могут скомпрометировать целостность этих приложений или установить своё собственное.
«С учётом распространённости устройств, в которых мы обнаружили уязвимости, в разных сферах, можно говорить о глобальных масштабах возможных экономических и операционных последствий атак на модемы и о рисках физической безопасности. Такие модемы, как правило, интегрируются в конечное решение по принципу „матрёшки” с высокой степенью вложенности — продукт одного вендора входит составной частью в продукт другого. Производители при этом не стремятся раскрывать компонентную базу, поэтому составить список конечных продуктов, которые могут быть затронуты, сложно. Вендорам придётся приложить значительные усилия для снижения рисков, при этом зачастую что-то можно будет сделать только с привлечением операторов связи. Мы надеемся, что наш подробный анализ поможет разработчикам осознать степень влияния описанных проблем на безопасность конечных решений, принять адекватные меры безопасности и, возможно, послужит отправной точкой для будущих исследований в области кибербезопасности умных устройств», — комментирует Евгений Гончаров, руководитель Kaspersky ICS CERT.
Чтобы защититься от рисков, связанных с уязвимостью CVE-2023-47610, «Лаборатория Касперского» рекомендует отключить на стороне оператора связи возможности обмена СМС и использовать частные APN со строгими настройками безопасности. Что касается других уязвимостей нулевого дня, в том числе CVE-2023-47611 и CVE-2023-47616, «Лаборатория Касперского» советует производителям устройств, включающих в их состав уязвимые модемы, настроить строгую проверку цифровых подписей для мидлетов, а пользователям — контролировать физический доступ к устройствам.
«Лаборатория Касперского» заблаговременно сообщила производителю о найденных уязвимостях. Модемы Cinterion являются ключевыми компонентами в межмашинных (M2M) и IoT-коммуникациях. Они поддерживают широкий спектр приложений: от промышленной автоматизации и транспортной телематики до интеллектуального учёта и мониторинга здоровья. Изначально модемы Cinterion были разработаны компанией Gemalto, которую впоследствии приобрела Thales. В 2023 году компания Telit выкупила у Thales бизнес по производству сотовых IoT-продуктов, включая модемы Cinterion.
Обнаруженные «Лабораторией Касперского» уязвимости являются следствием ошибок, допущенных разработчиком при проектировании ПО устройства и реализации его функциональности. Поиск уязвимостей злоумышленниками мог бы быть значительно усложнен, а последствия их эксплуатации были бы гораздо менее критичными, если бы производитель выбрал более безопасную операционную систему в качестве платформы разработки устройства и следовал бы принципам конструктивной информационной безопасности.
похожие материалы
Исследователи предупредили о новой фишинговой кампании, нацеленной на клиентов сервиса
Производитель популярного менеджера паролей LastPass сообщил о новой волне фишинговых атак, направленных на пользователей его сервиса.
Исследователи проанализировали более 1 млрд украденных паролей
Компания Outpost24 опубликовала обновлённый отчёт Breached Passwords Report, основанный на анализе более 1 млрд скомпрометированных паролей, собранных из утечек данных и с помощью инфостиллеров.
Исследователи обнаружила новый модульный бэкдор ShadowRelay в инфраструктуре госсектора
Специалисты центра исследования киберугроз Solar 4RAYS выявили ранее неизвестный модульный бэкдор под названием ShadowRelay, который был обнаружен в инфраструктуре одной из организаций государственного сектора.
В РФ ИИ-технологии используют лишь около 10% компаний
Исследование компании Artezio совместно с Comindware и ассоциациями «Руссофт» и BPM-профессионалов фиксирует характерный для российского рынка «ИИ-парадокс»: бизнес признаёт стратегическую важность искусственного интеллекта, но не спешит переходить к внедрению.
Минцифры РФ создало рабочую группу для борьбы с противоправным использованием дипфейков
Министерство цифрового развития, связи и массовых коммуникаций России сформировало межведомственную рабочую группу, целью которой станет противодействие незаконному использованию технологий типа дипфейк.
AMD выпустила критическое обновление безопасности для процессоров и платформ
Компания AMD опубликовала новый бюллетень безопасности, в котором описаны несколько важных уязвимостей, затрагивающих процессоры и платформы AMD.
Эксперты фиксируют, что злоумышленники все чаще используют резидентные прокси
Владельцы сетей резидентных прокси используют IP-адреса, выданные пользователям интернет-провайдерами и перепродают к ним доступ злоумышленникам.
Фишинг через календарь: как Google Gemini можно использовать для атак
Исследователи по безопасности из компании Miggo рассказали о необычном способе эксплуатации уязвимости, который злоумышленники могут использовать для распространения фишинга и вредоносных ссылок - через пригласительные события в календаре, инициированные ИИ-ассистентом Google Gemini.
Группа Everest заявила о крупной атаке на McDonald’s и похищении почти 1 ТБ данных
Крупная вымогательская группировка Everest ransomware gang, ранее известная по атакам на аэропорты и другие крупные организации, объявила, что стала новым злоумышленником, нацеленным на подразделение McDonald’s в Индии.
Критическая уязвимость в Modular DS Plugin затронула более 40 000 сайтов
Исследователи по безопасности обнаружили критическую уязвимость повышения привилегий в популярном плагине Modular DS Plugin для WordPress, которой уже активно пользуются злоумышленники в реальных атаках.