تجزیه و تحلیل صدها تصاویر ثابتافزار موجود برای مسیریابها، مودمهای DSL، تلفنهای VoIP، دوربینهایIP و دستگاههای دیگر تعبیه شده، نشان داد که بسیاری از این دستگاهها در معرض خطر و آسیب پذیری بالایی میباشند. این امر همچنین نشاندهنده ضعف در آزمون امنیتی این شرکتها میباشد.
این مطالعه توسط محققان مرکز تحقیقات Eurecom در فرانسه و روهر- دانشگاه بوخوم در آلمان انجام گرفته است. این موسسه یک سکوی خودکار ساخته است که قادر به بازکردن تصاویر ثابتافزاری و راه اندازی آنها در یک محیط شبیه سازی شده میباشد، سپس کارگزارهای وب نهفته را که واسطهای مدیریتی دستگاهها را میزبانی میکنند فعال میکنند.
محققان تحقیقات خود را با مجموعهای از ۱۹۲۵ تصویر ثابتافزار لینوکسی برای دستگاههای نهفته از ۵۴ سازنده، شروع کردند، اما در ابتدا توانستند کارگزارهای وب را برای ۲۴۶ عدد آنها فعال کنند. آنها بر این باورند که با کار اضافی و ترفندهایی برای سکوی ایجاد شده میتوانند این عدد را افزایش دهند.
هدف، انجام تجزیه و تحلیل آسیب پذیری پویا روی رابط مدیریت مبتنی بر وب بستههای ثابتافزار با استفاده از ابزارهای آزمون نفوذ متنباز میباشد. این آزمون منجر به یافتن ۲۲۵ مورد آسیب پذیری با تاثیر بالا در ۴۶ عدد از تصاویر ثابتافزار شد.
یک آزمایش جداگانه شامل استخراج کد رابط وب و میزبانی آن روی یک کارگزار عمومی میباشد به طوری که بتوان این کد را بدون شبیهسازی محیط ثابتافزار اصلی برای یافتن آسیبپذیریها آزمود. این آزمایش اشکالاتی داشت اما برای ۵۱۵ بسته ی سخت افزاری موفق عمل کرد و رخنه امنیتی در ۳۰۷ مورد از آنها یافت شد.
این پژوهشگران هم چنین تحلیل ایستایی را با استفاده از ابزار متن باز دیگری در برابر کدهای PHP استخراج شده از تصاویر ثابتافزار دستگاهها انجام دادند که منجر به یافتن ۹۰۴۶ مورد آسیبپذیری در ۱۴۵ تصویر ثابت افزار شد.
در مجموع با انجام هردو تجزیه و تحلیل ایستا و پویا، محققان آسیب پذیریهای مهمی مانند اجرای کد از راه دور، تزریق SQL و اسکریپت cross-site در رابط مدیریتی مبتنی بر وب مربوط به ۱۸۵ بستهی ثابتافزار منحصر به فرد یافتند که مربوط به ۵۴ شرکت سازنده میباشند.
محققان تلاشهای خود را بر روی توسعه یک روش قابل اعتماد برای آزمایش خودکار بستههای ثابتافزار بدون نیاز به دسترسی به دستگاههای مربوطه فیزیکی، متمرکز کردهاند. آنها بررسی کد به صورت دستی، استفاده از ابزارهای بررسی متنوع و آزمون برای پیداکردن آسیبپذیریهای پیشرفته را انجام ندادند.
این بدین معناست که مشکلاتی که آنها یافتند مشکلات خیلی پیشرفتهای نبودند.- رخنههایی که باید به آسانی طی هر آزمایش امنیتی استاندارد پیدا شوند- این سوال مطرح میشود که چرا آنها توسط تولید کنندگان خود کشف و اصلاح نشدهاند؟
Andrei Costin یکی از محققان این آزمایش گفت: «به نظر میرسد فروشندگان یا کدهای خود را اصلاً آزمایش نکردهاند یا اگر آزمایش کردهاند، آزمایشها بسیار ضعیف بوده است.»
Costin یافتههای این گروه از محققان را روز پنج شنبه در کنفرانس امنیتی DefCamp در بخارست، ارائه داد. این تحقیق دومین آزمایش انجام شده روی تصاویر ثابتافزاری در مقیاسی بزرگ بوده است. سال گذشته تعدادی از محققان روی روشهایی کار کردند که بتواند به صورت خودکار مشکلات رمزگذاری و backdoor را در تعداد زیادی بستههای ثابتافزاری پیدا کنند.
برخی از نسخههای سخت افزاری در مجموعه داده این محققان، جدیدترین نسخه نبودهاند، بنابراین همه مشکلات کشف شده آسیبپذیریهای روز صفرم نیستند-آسیبپذیریهایی که پیش از این کشف و وصله نشدهاند-. با این وجود از اهمیت بالایی برخوردارند چون اکثر کاربران به ندرت ثابتافزار موجود بر روی دستگاههای نهفتهشان را بهروزرسانی میکنند.
در DefCamp از شرکتکنندگان دعوت شده بود تا سعی کنند چهار دستگاه اینترنت اشیاء را به عنوان بخشی از دهکده IoT مورد نفوذ قرار دهند. شرکتکنندگان دو مورد آسیب پذیری جدی را در آیفونهای تصویری پیدا کردند که میتوانستند در جهت دستیابی به کنترل کامل دستگاه مورد سوءاستفاده قرار گیرند. این آیفونها همچنین این امکان را داشت که یک قفل هوشمند را کنترل کند.
یک مسیریاب D-link نیز از طریق آسیبپذیری موجود در ثابتافزارش که از سوی شرکت سازنده همراه دستگاه است، مورد حمله قرار گرفت. این نقص در نسخههای جدیدتر ثابتافزار شناخته و اصلاح شده است ، اما مسیریاب به کاربران هشدار نداده است که ثابتافزار موجود را بهروزرسانی کنند.
در پایان، شرکتکنندگان یک آسیب پذیری کم تاثیر را در یک مسیریاب از Mikrotik پیدا کردند. تنها دستگاهی که جان سالم به در برد یک Nest Cam بوده است.
اطلاعات بیشتر در مورد آسیبپذیریها هنوز در دسترس عموم قرار نگرفته است زیرا موسسان دهکده IoT از شرکت امنیتی بیت دیفندر (Bitdefender) درنظر دارند ابتدا این آسیبپذیریها را به شرکتهای سازنده اطلاع دهند تا آنها این مشکلات را برطرف کنند.
منبع: asis