易受攻击的TCP / IP堆栈打开了数百万个IoT和OT设备以进行攻击

前瞻 researchers have discovered 33 vulnerabilities affecting four 开源的 TCP/IP (communications) stacks used in millions of connected devices worldwide.

易受攻击的TCP / IP堆栈

由于这些漏洞主要导致内存损坏,因此被统称为“失忆症”:33,这些漏洞可能使攻击者能够远程破坏设备,执行恶意代码,执行拒绝服务攻击,窃取敏感信息或注入恶意DNS记录,从而将设备指向攻击者,受控域。

关于易受攻击的TCP / IP堆栈

易受攻击的开放源代码TCP / IP堆栈是PicoTCP,FNET,Nut / Net和uIP(后者最初是一个独立项目,后来成为Contiki OS的一部分)。在七个不同的堆栈组件中发现了此漏洞:DNS,IPv6,IPv4,TCP,ICMP,LLMNR和mDNS。

“AMNESIA:33漏洞存在于从嵌入式组件(例如片上系统– SoC,连接模块和OEM板)到消费物联网(例如智能插头和智能恒温器)以及网络和办公设备的产品中(例如打印机,交换机和服务器软件)到OT(例如访问控制设备,IP摄像机,RTU和HVAC),”研究人员解释说。

漏洞及其可能的影响已得到详细说明 这里 。但是,必须指出,最终影响取决于使用易受攻击的堆栈的特定设备及其使用环境。

例如,DoS漏洞通常不被认为是至关重要的,但是如果它影响到关键OT环境中的设备(在可用性方面很重要),那么它可能就很重要。

“关键嵌入式设备中的RCE可以用于在智能电表中进行欺诈,通过楼宇自动化和路由器,VPN,防火墙或网关破坏公司网络,或试图对安全控制器造成物理损坏,”研究人员补充说。

漏洞管理的噩梦

由于这些缺陷会影响多个开源TCP / IP堆栈,因此它’很难明确列出所有受影响的设备。另外,由于存在许多分支,分支和不受支持(尚可用)的版本,因此打补丁将很困难,并且很容易获得’在太多情况下不会发生。

易受攻击的TCP / IP堆栈

“我们联系了ICS-CERT和CERT协调中心,以帮助他们针对AMNESIA:33漏洞进行披露,修补和供应商沟通。反过来,他们在GitHub的安全团队的帮助下找到并联系了受影响的存储库,”研究人员指出。

“尽管各方都付出了很多努力,但官方补丁仅由Contiki-NG,PicoTCP-NG,FNET和Nut / Net项目发布。在撰写本文时,尚未为原始uIP,Contiki和PicoTCP项目发布任何正式补丁,我们认为这些项目已经达到使用寿命,但仍可下载。一些使用这些原始堆栈的供应商和项目,例如open-iscsi,发布了自己的补丁程序。”

有关修补程序和已确认易受攻击的设备的更多信息,请参见CERT / CC。’s 漏洞说明 .

总而言之,这将是减轻风险的挑战,特别是对于组织而言。许多物联网设备’随附软件物料清单(SBoM)并找出每个设备使用哪个OS,固件或TCP / IP堆栈将是一项耗时的工作。最后,即使企业安全人员获得了该信息,也可能永远无法获得补丁。

前瞻 researchers recommends companies to adopt solutions that provide granular device visibility, allow the monitoring of network communications and isolate vulnerable devices or network segments to manage the risk posed by these vulnerabilities.

“当涉及到物联网时,软件供应链的安全性尤其具有挑战性。由于复杂的供应链会传播漏洞,因此竞争激烈的IoT生态系统仍然是存在缺陷软件的重要温床,但是缺陷通常很难修补,”Sonatype解决方案架构全球总监Ilkka Turunen说道。

“英国政府提议的保护物联网设备安全的立法还应从长远来看有助于缓解威胁,但制造商应对其产品所承担的责任有更大的责任。这些工具可用来使制造商在其应用程序中内置安全性,因此,如果这样做不当,将构成重大过失。任何其他制造业都不允许在其产品中运送已知的易损或有缺陷的零件,那么为什么连接设备中的软件组件应该有所不同?取而代之的是,制造商应能够证明其软件和设备在出厂时是安全的,并应确保其安全更新可在规定的时间内持续进行。只有在制造商和企业的共同努力下,再加上物联网法规的支持,我们才有信心在不断扩展的互联生态系统中保持适当的软件卫生。”

TCP / IP堆栈的安全性研究刚刚开始

这不是第一次发现TCP / IP堆栈容易受到攻击。在2019年末,Armis研究人员 显露 IPnet中的11个漏洞,Wind River VxWorks中使用的TCP / IP堆栈,Wind River VxWorks是一个实时操作系统,在工业,医疗和企业环境中有超过20亿个设备使用。

然后,在2020年6月,JSOF研究人员 公开的 Treck TCP / IP库中的20个漏洞,已在数亿个IoT和OT设备中使用。

前瞻’的研究是《记忆计划》下发表的第一篇研究,“一项旨在为社区提供有关TCP / IP堆栈安全性的最大研究的任务。”研究人员宣布,将来将共享其他研究(和漏洞)。

分享这个