Hiaten in het industriële IoT-protocol maken externe controle mogelijk


Industriële Internet of Things-omgevingen, bijvoorbeeld voor autonoom rijden, machines in de gezondheidszorg of militaire tactische systemen, gebruiken vaak een eigen protocol genaamd Data Distribution Service (DDS) voor gegevensuitwisseling. Onderzoekers hebben nu beveiligingslacunes ontdekt in verschillende implementaties waarvoor er slechts enkele beveiligingsupdates zijn.

“DDS is ontwikkeld voor industriële vereisten en bevindt zich diep in het besturingsnetwerk. Een willekeurig aantal eindpunten, zoals sensoren of actuatoren, kan transparant aan elkaar worden gekoppeld […] communiceren, […] ongeacht de complexiteit van de gegevens “, uitleggen de onderzoekers Ta-Lun Yen, Federico Maggi en Erik Boasson het protocol. Zo zou een windturbine zijn actuele status via DDS kunnen doorgeven aan de centrale besturing, die hierop reageert met besturingsinstructies aan de windturbine. Verder Stichting DDS geeft informatie over het protocol.

De onderzoekers ontdekten beveiligingsgerelateerde fouten in verschillende DDS-implementaties en rapporteerden deze aan het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). Dit bevestigt de analyse van de onderzoekers en beoordeelt de ernst van de verschillen tussen gemiddeld en hoog (CVSS-score tot 8,6). Verschillende implementaties van het DDS-protocol worden beïnvloed:

  • Eclipse CycloneDDS vóór versie 0.8.0
  • eProsima Fast DDS vóór versie 2.4.0
  • GurumDDS alle versies
  • OCI OpenDDS vóór versie 3.18.1
  • RTI Connext DDS Professional en Connext DDS Secure in versie 4.2.x tot 6.1.0 evenals Connext DDS Micro versie 2.4 en nieuwer
  • TwinOaks Computing CoreDX DDS vóór versie 5.9.1

Dat zou een aantal industriële giganten moeten treffen. De Eclipse Foundation noemt bijvoorbeeld processor-IP-leveranciers ARM, Intel, Bosch en LG als gebruikers. Bekende lucht- en ruimtevaart- en defensiebedrijven evenals NASA gebruiken blijkbaar OpenDDS. Er zijn updates beschikbaar voor de meeste van de getroffen implementaties om de hiaten op te vullen. de US CISA heeft, volgens de Security Advisory Het Zuid-Koreaanse bedrijf Gurum is echter niet te bereiken, daarom is de updatestatus hier onduidelijk.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: