Tilbake

Nye sårbarheter avdekket

Hackere finner stadig nye muligheter i IoT enheter. Nylig ble 9 sårbarheter avslørt. Heldigvis finnes det metoder for å sikre seg.

Ni nye sårbarheter som påvirker fire populære TCP/IP-stacker brukt i millioner av IoT-, OT- og IT-enheter er avdekket. Sårbarhetene, blant annet omtalt i denne artikkelen i ZDNet, er estimert å berøre mer enn 100 millioner enheter.

Hackere har gjennom dette muligheten til å påvirker fire TCP/IP-stacker (kommunikasjonsprotokoller som ofte brukes i IoT-enheter) relatert til Domain Name System (DNS) implementeringer.  Dette kan benyttes til Denial of Service (DoS) eller Remote Code Execution (RCE) av angripere.

Konsekvensen av slike angrep kan være at IoT enheter tas ned av hackerene. Da kan de få tilgang til brukerens nettverk hvor de blant annet kan hente ut sensitiv informasjon. Hackerne kan også benytte dette som et springbrett for videre angrep.

Sikkerhetspatcher oppgis å være tilgjengelige.

Å sikre seg mot slike angrep er vanskelig. Det enkelte selskap er avhengig av å kunne stole på produktene og tjenestene de benytter. Nødvendigheten av at utviklere designer for sikkerhet, og at brukerne har gode rutiner og prosesser på plass i organisasjonen er kritisk. Slike tiltak vil være til god hjelp for å sikre seg mot hackerangrep.

Heldigvis finnes det også hjelpemidler bedrifter kan støtte seg på for å sikre seg så godt som mulig. NEK ISO/IEC 27000-serien av standarder beskriver beste praksis for å hjelpe organisasjoner med å forbedre informasjonssikkerheten i IT-systemer ved å angi krav til informasjonssikkerhetsstyringssystem (ISMS). Tilsvarende adresserer NEK IEC 62443-serien cybersikkerhet i OT-systemer.

Du kan lese mer om hvordan internasjonal standardisering bidrar til økt cybersikkerhet på NEK sin hjemmeside.

Rapporten fra Forescout Research Labs and JSOF kan lastes ned HER.

Relaterte artikler

Se alle nyheter

NEK får ny fagsjef for ekom

Dato
22.11.2021

Karantenebestemmelsene kan overholdes gjennom IoT

Dato
18.11.2021

NEK lanserer ny standard for cybersikkerhet

Dato
15.10.2021