Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Опасные уязвимости в стеке Treck TCP/IP затрагивают миллионы IoT-устройств

24/12/20

hack56-Dec-24-2020-09-49-54-44-AMАгентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity Infrastructure and Security Agency, CISA) сообщило о критических уязвимостях в программной библиотеке TCP/IP нижнего уровня от компании Treck. С их помощью злоумышленники могут запускать произвольные команды и вызывать отказ в обслуживании (DoS).

Встраиваемый стек TCP/IP используется по всему миру на производственных предприятиях, в информационных технологиях, здравоохранении и сфере транспорта. Четыре уязвимости затрагивают версию Treck TCP/IP 6.0.1.67 и более ранние и были обнаружены специалистами компании Intel. Две из них обозначены как критические.

Самой опасной уязвимостью является уязвимость переполнения буфера (CVE-2020-25066) в компоненте Treck HTTP Server, позволяющая злоумышленникам вызвать аварийное завершение работы, сбросить настройки атакуемого устройства или даже удаленно выполнить код. По шкале оценивания опасности CVSS уязвимость получила 9,8 балла из максимальных 10.

Вторая уязвимость – запись за пределами выделенной области памяти в компоненте IPv6 (CVE-2020-2733). С ее помощью неавторизованные злоумышленники могут вызвать отказ в обслуживании. По шкале оценивания опасности CVSS уязвимость получила 9,1 балла из максимальных 10.

Еще две уязвимости в компоненте IPv6 – чтение за пределами выделенной области памяти CVE-2020-27338 (5,9 балла по шкале CVSS) и недостаточная проверка входных данных CVE-2020-27336 (3,7 балла по шкале CVSS). Первая уязвимость позволяет неавторизованным злоумышленникам вызывать отказ в обслуживании, а вторая – читать за пределами выделенной области памяти до трех байтов данных через сетевой доступ.

Пользователям рекомендуется обновить стек TCP/IP от компании Treck до версии 6.0.1.68, где четыре вышеупомянутые уязвимости уже устранены. В случае, если установить обновление невозможно, рекомендуется установить правила межсетевого экрана для фильтрации пакетов с отрицательным значением длины контента в заголовках HTTP.

Темы:Интернет вещей (IoT)УгрозыCISA
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...