Милиони устройства в риск, заради клетъчен модем
Проблемен клетъчен модем заплашва сигурността на необятен набор устройства, в това число банкомати (снимка: CC0 Public Domain)
Критични уязвимости, открити в необятно публикувани клетъчни модеми, излагат на риск милиони разнообразни устройства, конфигурирани по целия свят – от банкомати до здравно съоръжение. Нападатели могат отдалечено да извършват случаен код на засегнатите устройства.
За казуса сигнализираха експерти по сигурност на конференцията OffensiveCon в Берлин. Изследователи от Kaspersky ICS CERT са разкрили сериозни уязвимости в клетъчните модеми Cinterion, които постоянно се употребяват в разнообразни IoT и свързани устройства.
Уязвимостите разрешават на нападатели отдалечено да извършват случаен код без позволение, което съставлява опасност за милиони разнообразни устройства – от банкомати и платежни терминали до коли и здравно съоръжение.
Най-обезпокоителна е уязвимостта CVE-2023-47610, която е обвързвана с препълване на буфера на паметта в манипулаторите на SUPL известия на модема. Това разрешава на атакуващите отдалечено, посредством изпращане на SMS известия, да извършват случаен код, който има безграничен достъп до ресурсите на устройството и операционната система – без засвидетелствуване или нужда от физически достъп до модема.
Изследването разкрива съществени проблеми и със сигурността на MIDlets – Java приложения, работещи на модеми. Нападателите могат да компрометират целостта на тези приложения или да конфигурират свои лични.
За предотвратяване от рисковете, свързани с уязвимостта CVE-2023-47610, Kaspersky Lab предлага на потребителите да деактивират опциите за SMS от страна на оператора и да употребяват частни APN със строги настройки за сигурност.
По отношение на други уязвимости “от нулев ден ”, в това число CVE-2023-47611 и CVE-2023-47616, специалистите на Kaspersky Lab поучават производителите на устройства, които употребяват уязвими модеми, да настроят прецизна инспекция на цифровите подписи на MIDlets, а потребителите да управляват физическия достъп до устройствата.
Източник: technews.bg
![](/img/banner.png)
![Промоции](/data/promomall.png?5)
КОМЕНТАРИ