2min Security

Al jaren gepatchte IoT-kwetsbaarheid blijkt springlevend

Al jaren gepatchte IoT-kwetsbaarheid blijkt springlevend

Miljoenen aangesloten apparaten in het Internet of Things (IoT) hebben nog een oude en al lang gepatchte kwetsbaarheid. Hij komt voor in miljoenen IoT-apparaten.

Het gaat om verouderde versies van codebibliotheken Portable SDK for UPnP-apparatuur, ofwel libupnp, die verwerkt zijn in routers, smartphones, smart tv’s en bijvoorbeeld koelkasten. De IoT-kwetsbaarheid maakt de apparatuur kwetsbaar voor exploits.

Het aantal kwetsbare apparaten wordt op zo’n 6,1 miljoen geschat. In totaal werden 547 verschillende apps ontdekt die gebruik maken van de verouderde bibliotheek.

De problemen met de verouderde libupnp zijn drie jaar geleden al opgelost. De verouderde code wordt nu nog steeds aangetroffen in apps die bij de smart devices horen.

De IoT-kwetsbaarheid kan leiden tot het gevaar voor een buffer overflow, die kan leiden tot een crash van de app. Aanvallers zijn in staat eigen code ten uitvoer te brengen.

In eerste instantie stond ook Netflix op de lijst met kwetsbare apps. Nu blijkt echter dat het online-videobedrijf een eigen versie van libupnp gebruikt. De oude kwetsbaarheid komt daar niet in voor.

Grote boosdoener, zo stellen deskundigen al langer, is de enorme druk die op fabrikanten ligt om IoT-apparaten snel in de markt te zetten. Hierdoor krijgen beveiligingsaspecten geen prominente plaats.

Ook Microsoft lijkt voor de druk te zwichten. Met het uitbrengen van de laatste versie van Windows 10 voor IoT-apparatuur is het namelijk mogelijk geworden beveiligingsupdates te weigeren. Dit blijkt uit een eerder deze week uitgekomen blog van het bedrijf waarin meer over de update werd uitgelegd.

Het gaat om Windows 10 IoT Core Pro OEM SKU. Ontwikkelaars en beheerders van IoT-apparatuur krijgen net als reguliere  IT-beheerders hiermee de mogelijkheid om alle soorten updates, dus ook beveiligingsupdates, uit te stellen.

Voor de desktop- en  serverversies van Windows die draaien in complexe IT-omgevingen is de mogelijkheid een handige uitkomst. Beheerders kunnen zo eerst zorgen dat cruciale bedrijfsprocessen niet ontregeld raken en het effect van de update eerst te testen.

Maar wat handig is voor beheer van complexe netwerken, is juist onveilige bij IoT-apparatuur. Volgens The Register is het gevaarlijke aan de zaak dat deze apparaten geen deel uitmaken van de kritieke infrastructuur maar nu dus wel de zwakste schakel zijn. De apparaten hebben een kwetsbare positie doorat ze afhankelijk zijn van een internetverbinding. Via een hack van een IoT-apparaat kom je dus makkelijk bij bedrijfsapplicaties en netwerken uit die wel kritiek zijn.