25 nov. 2015

Vulnerabilidades en dispositivos IoT [Investigación]

El mercado de Internet de las Cosas (IoT) se está expandiendo rápidamente, y el número de vulnerabilidades sin parchear que puede encontrarse en dispositivos integrados en este segmento de mercado parece estar creciendo a un ritmo simila, según demostraron en DefCamp, la conferencia celebrada en Bucarest, Rumania la semana pasada.
El trabajo de investigación presentado por Andrei Costin y Aurelien Francillon del Centro Eurecom en Francia y la Universidad del Ruhr de Alemania muestra como los firmware instalados en los dispositivo IoT son susceptibles a múltiples fallos de seguridad porque los fabricantes no realizan pruebas de seguridad adecuadas antes de lanzar nuevos productos al mercado.

Como parte de su investigación, el equipo analizó las imágenes de 1.925 firmware de 54 proveedores diferentes. Los investigadores crearon un sistema automatizado capaz de desempaquetar y emular las imágenes y así eliminaron la necesidad de trabajar con los dispositivos reales. Luego buscaron vulnerabilidades en las interfaces web de los dispositivos IoT y encontraron fácilmente un total de 9.271 vulnerabilidades en 185 firmware, las cuales afectan a casi una cuarta parte de los proveedores analizados.

Costin explicó en la presentación que se las arreglaron para emular un servidor web con las imágenes de los firmware y realizaban análisis estáticos y dinámicos sobre sus interfaces web. El análisis reveló 225 vulnerabilidades de alto impacto en 46 imágenes, las cuales fueron verificadas a través de un análisis dinámico, y 9.046 posibles vulnerabilidades en 145 firmware, identificadas mediante análisis estático.

Según el paper [PDF], entre los fallos de seguridad, los investigadores descubrieron Cross-site Scripting (XSS), manipulación de archivos, inyección de comandos, inserción de archivos, divulgación de información, inyección SQL, ejecución de código e inyección de encabezados HTTP.

Fuente: Securityweek

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!