Oltre 100 milioni di dispositivi IoT installati in più di 10.000 aziende sono vulnerabili a una falla zero-day che potrebbe causare arresti anomali del sistema. Il problema riguarda MQTT, un protocollo standard di messaggistica per IoT. In virtù dell'ingombro ridotto di codice e della necessità di una larghezza di banda minima, MQTT viene utilizzato in un'ampia varietà di settori che utilizzano sensori smart a bassa larghezza di banda, come automotive, produzione, telecomunicazioni, Oil&Gas e così via.

La falla è emersa grazie ai ricercatori di Guardara, che hanno applicato la propria tecnologia alla piattaforma open source NanoMQ prodotta da EMQ. Tale piattaforma è impiegata per monitorare in tempo reale la salute dei pazienti dimessi dagli ospedali, i sistemi automobilistici, per rilevare incendi, negli smartwatch, nelle applicazioni smart city e altro ancora.

I test condotti dai ricercatori hanno portato al crash di NanoMQ, confermando che qualsiasi sistema basato su questa piattaforma potrebbe essere messo fuori uso con un attacco denial-of-service. La pericolosità del problema dipende dalle impostazioni della piattaforma.

Più nel dettaglio, il bug è causato da una restrizione impropria delle operazioni nel buffer di memoria e riguarda la lunghezza del pacchetto MQTT. Nell'implementazione di NanoMQ, "quando viene manomessa la lunghezza del pacchetto MQTT per fare sì che sia inferiore al previsto, la posizione del buffer di origine punta a un'area di memoria non allocata, di conseguenza NanoMQ si blocca".

Per il momento non è stato assegnato alcun CVE alla falla. I ricercatori hanno associato alla vulnerabilità un punteggio CVSS di 7.1, che equivale a una elevata gravità. Reputano infatti che tutto quello di cui un attaccante avrebbe bisogno per sferrare un attacco denial-of-service sono competenze di rete e scripting di base.

Il guaio è che un attacco di questo tipo potrebbe essere estremamente pericoloso, in quanto influirebbe sul funzionamento di apparecchiature mission-critical come quelle medicali e anti incendio. Lo sviluppatore del software ha già pubblicato le patch, quindi tutti gli utenti di dispositivi che usano NanoMQ dovrebbero verificare con i propri fornitori la disponibilità di un aggiornamento del firmware.

Il problema emerge in un momento già critico di per sé, per il picco degli attacchi contro i dispostivi IoT. Pochi giorni fa i ricercatori di Kaspersky hanno allertato sull'impennata degli attacchi nel corso del primo trimestre 2021, che sono raddoppiati rispetto ai valori del semestre precedente. Colpa della popolarità delle soluzioni IoT, che oltre ad attirare consumatori e aziende hanno sollecitato anche l'interesse dei cyber criminali.