Internet of Things

MQX RTOS er et realtidsoperativsystem, der bruges i NXP Semiconductors' ColdFire-mikrocontrollere, Kinetis-mikrocontrollere, i.MX-processorer og Vybrid-processorer. Sikkerhedsforskere har fundet to sårbarheder, hvoraf den ene kan udnyttes til at afvikle skadelig programkode.

De berørte enheder bruges typisk i industrikontrolsystemer og Internet of Things-enheder (IoT).

Den alvorligste sårbarhed findes i version 5 og tidligere. En mindre alvorlig sårbarhed er i version 4.1 og tidligere.

Routere, web-kameraer og NAS-systemer (Network-Attached Storage) er målene for det skadelige program Reaper. Programmet udnytter kendte sårbarheder i Internet of Things-enheder (IoT) til at inficere dem.

De inficerede enheder forsøger derefter at inficere andre enheder.

Reaper kan blandt andet udnytte sårbarheder i routere fra D-Link, TP-Link, Netgear og Linksys, kameraer fra GoAhead og D-Link, samt disksystemer fra Netgear og Synology.

Der er typisk tale om sårbarheder, som producenterne har udsendt rettelser til.

Sikkerhedsforskere fra Google har fundet syv sikkerhedshuller i Dnsmasq. Angribere kan udnytte tre af dem til at afvikle skadelig programkode.

Dnsmasq fungerer som DNS- og DHCP-server. Programmet indgår i mange routere og andet udstyr. Det fås til Linux, Android, BSD-varianter og macOS.

Hullerne er lukket med version 2.78. Endvidere er de fjernet med oktober måneds sikkerhedsrettelser til Android.

Anbefaling

Opdater Dnsmasq eller firmwaren til udstyr, som anvender programmet.

Sårbarhederne blev kendt for et år siden, da et sikkerhedsfirma offentliggjorde en rapport om dem. St. Jude Medical, der nu er ejet af Abbott Laboratories, har nu lukket sikkerhedshullerne med ny firmware.

En af sårbarhederne gør det muligt for en angriber, der er fysisk tæt på pacemakeren, at sende uautoriserede kommandoer til den via radiobølger.

Firmaet anbefaler patienter at få installeret den opdaterede firmware, næste gang de alligevel er hos deres læge eller på sygehuset.

Sikkerhedsfirmaet Senrio har opdaget sårbarheden, som det kalder Devil's Ivy. Sikkerhedshullet ligger i værktøjet gSOAP, som indgår i mange Internet of Things-enheder (IoT).

Senrio fandt sårbarheden i overvågningskameraet M3004 fra Axis Communications. Sårbarheden er et bufferoverløb, der kan udnyttes til at afvikle programkode.

Sikkerhedsfirmaet F-Secure har fundet de 18 huller i IP-kameraer fra producenten Foscam. En række andre firmaer sælger kameraerne under deres egne varemærker: Chacon, Thomson, 7links, Opticam, Netis, Turbox, Novodio, Ambientcam, Nexxt, Technaxx, Qcam, Ivue, Ebode og Sab.

Alle sårbarhederne findes i Opticam i5, der fremstilles af Foscam, men sælges under navnet Opticam. En del af sårbarhederne findes også i Foscam C2.

Blandt de alvorlige sårbarheder er en indbygget FTP-server uden passwordbeskyttelse. Også beskyttelsen af web-grænsefladen er mangelfuld.

Sårbarheden gør det muligt at ændre password for administratorbrugeren og logge ind som administrator.

Dahua har foreløbig udsendt opdateret firmware til 11 modeller, der er fundet sårbare. Efterhånden som firmaet fortsætter undersøgelserne, kan flere komme til.

Der er udsendt opdateringer til disse modeller:

Federal Trade Commission (FTC), der tager sig af sager om konkurrencemisbrug og unfair forretningsmetoder, har udskrevet IoT Home Inspector Challenge. Værktøjet skal hjælpe forbrugere med at beskytte mod sårbarheder i apparater i deres hjem.

Værktøjet skal virke på eksisterende enheder. Det skal fx gøre det muligt at opdatere firmware eller ændre fabriksindstillede passwords.

Man kan vinde op til 25.000 dollars. Tidsfrist for at deltage er den 22. maj 2017.

De webkameraer og andre enheder, der for nylig blev brugt i et massivt DDoS-angreb (Distributed Denial of Service), brugte alle software fra det samme kinesiske firma. Enhederne ser ud til at have det samme brugernavn og password.

Ifølge en analyse fra sikkerhedsfirmaet Flashpoint er enhederne udstyret med software fra kinesiske XiongMai Technologies. De leverer elektronik og software til digitale videooptagere, netværksoptagere og netkameraer.