אחת הדרכים הנפוצות לפרוץ לתוך לרשתות זרות הוא דרך מכשירים מרושתים IoT-Internet Of Things כגון נורות חכמות, שקעים חכמים ועוד. מעבדות המחקר של פורסקאוט חשפו שורה של 33 חולשות חדשות בשם AMNESIA:33. החולשות התגלו בארבע ספריות תקשורת TCP/IP של החברות: uIP, FNET, PicoTCP ו-Nut/Net. ספריות אלו מהוות בסיס לתקשורת עבור מיליוני מכשירים ברחבי העולם והחולשות נובעות מעצם העובדה שבפיתוחן של ספריות אלו לא הושמו דגשים מספקים על אבטחתן, ועל כן המשתמשים (הן הצרכן הפרטי והן אירגונים) חשופים לאיומים בצורה משמעותית יותר.
בעברית פשוטה יותר מעבדות המחקר של Forescout גילו חולשה בפרוטוקול תקשורות בו רבים ממכשירי ה- IoT משתמשים שדרכה ניתן לחדור לרשת. הפריצה נעשית תחילה דרך מכשיר ה- IoT ולאחר להגיע אל תוך הראוטר וממנו ישירות לשרת/מחשב.
פורסקאוט מעריכה כי מיליוני מכשירים ברחבי העולם, המיוצרים על ידי יותר מ- 150 יצרנים פגיעים ל-AMNESIA:33 ומושפעים בצורה ישירה מחשיפתן של חולשות אלו בעקבות הטמעת ספריות אלו במוצריהם. ספריות פגיעות אלו נמצאות כבר היום בשימוש נרחב במכשירי קצה ביתיים (לדוגמה, שקע חכם) ובמגוון מגזרים, ביניהם בריאות, ממשל, תעשיות, קמעונאות, ספקי שירותים, גופים פיננסיים ועוד. בשל תפוצתן הנרחבת ומשום שהחולשות מוטמעות במערכות משנה מסועפות וללא תיעוד, קיים קושי רב לאמוד את היקף הסיכון או לטפל בהן.
ארגונים שלא יפעלו למזעור הסיכון מותירים למעשה את הדלת פתוחה לתוקפים במכשירי IT, OT ו-IoT ברחבי הארגון. ניצול חולשות AMNESIA:33 יכול לאפשר לתוקף להשתלט על מכשיר ולהשתמש בו כנקודת גישה לרשת, כנקודת מרכזית לתנועה רוחבית ברשת, וכבסיס יציאה להתקפות על רשת המטרה או כיעד הסופי להתקפה. לגבי צרכנים, המשמעות היא שמכשירי IoT ביתיים עלולים להיות מנוצלים לצורך הוצאה לפועל של התקפות גדולות, כגון בוטנטים (botnet), מבלי שהם יהיו מודעים לכך.
הפתרון לכך הוא עדכון של הפרוטוקולים וביצוע עדכון קושחה למוצר. המצב מסתבך כאשר למוצר החכם אין יותר חברה העומדת מאחוריו. חברות רבות הוציאו מוצר IoT אבל לא שרדו את התחרות בשוק. החברה נסגרה אבל המוצרים עדין חיים ופועלים. היות ואין חברה אשר תתמוך במוצרים נוצר מצב בו המוצרים פועלים אבל אין מי שיעדכן אותם ויחסום את הפריצה. המצב מסובך גם כאשר היצרן מפיץ עדכון גרסה והמשתמשים אינם מעדכנים. ישנן תעשיות כגון בריאות או תשתיות חיוניות אשר יתעכבו משמעותית בהתקנת העדכון או אף לא יתקינו בכלל בשל מורכבות תפעולית והצורך להשבית זמנית את המערכת לשם כך.
