Специалисты Агентства по кибербезопасности США выявили 33 уязвимости в стеке TCP/IP. Четыре из которых относятся к критическим. Пакет эксплоитов исследователи назвали — Amnesia:33. Такое имя было выбрано потому, что большинство эксплоитов направлены на повреждение оперативной памяти умных устройств. Но кроме повреждения памяти, возможны и другие виды атак — отказ от обслуживания, выполнение произвольного кода, а также кража персональных данных.
«Использование этих уязвимостей позволяет злоумышленнику получить контроль над устройствами, например используя их в качестве точки входа во внутреннюю сеть компании (для устройств, подключенных к Интернету)» — говорится в опубликованном 8 декабря 2020 отчете.
Хотя исследователи не называют конкретных производителей или моделей оборудования, но утверждается, что уязвимости найдены в устройствах от более чем 150 вендоров. Также отмечается, что многие проблемы возникают из-за плохой практики разработки ПО устройств и легкомысленном отношении к безопасности — во многих случаях отсутствует проверка входных данных, шифрование, а также отсутствие каких-либо препятствий для вторжения извне.
Ситуация осложняется еще и тем, что многие устройства имеют ПО с открытым исходным кодом, что создает дополнительные трудности по выпуску патчей. Тем не менее, многие производители уже оперативно выпустили патчи для своих устройств.
Для смягчения последствий, исследователи рекомендуют различные способы защиты от Amnesia:33, включая отключение или блокирование IPv6 трафика, когда в нем нет необходимости; а также мониторинг всего сетевого трафика на наличие вредоносных пакетов, которые пытаются воспользоваться известными уязвимости.
