首页 > 信息安全 > 正文

这9个漏洞正在影响上亿设备

2021-08-02 16:31:34  来源:今日头条

摘要:安全供应商Forescout和JSOF研究公司最近披露了FreeBSD以及为物联网设计的三款流行实时操作系统使用的TCP/IP堆栈存在的一系列漏洞。这九个漏洞可能会影响上亿部设备。
关键词: 漏洞 设备
  安全供应商Forescout和JSOF研究公司最近披露了FreeBSD以及为物联网设计的三款流行实时操作系统使用的TCP/IP堆栈存在的一系列漏洞。这九个漏洞可能会影响上亿部设备。
 
  NucleusNET、IPNet和NetX是受这批漏洞影响的三款操作系统,Forescout和JSOF发布的联合报告将这批漏洞统一命名为Name:Wreck。
 
  Forescout在介绍这批漏洞的报告中写道,TCP/IP堆栈特别易受攻击,原因有几个,包括:使用广泛,许多堆栈是很久以前开发的,以及由于跨网络边界的未经身份验证的功能和协议,使它们成了诱人的攻击面。
 
  域名系统(DNS)基本上存在同样的问题,很容易因Name:Wreck漏洞而被人钻空子。
 
  报告称:"DNS是一种复杂的协议,往往衍生出易受攻击的方法;这些漏洞常常被外部攻击者所利用,以同时控制数百万个设备。"
 
  据451Research的首席研究分析师EricHanselman声称,Name:Wreck让不法分子可以发动拒绝服务攻击和远程执行代码,很可能是DNS响应内容的代码解析中糟糕的编程实践造成的。实际上,系统中用于将DNS响应压缩成更小、更易于传输的程序包的一个关键值未经过系统的验证,也会被不法分子操纵。
 
  Hanselman说:"DNS攻击的困难在于,DNS响应可能含有大量的信息。格式选项实在太多了,DNS响应中返回大量数据的情况并不罕见;如果不跟踪DNS查询,允许在自己的环境中使用OpenDNS,就很难跟踪响应,以确保有状态的后续行动。"
 
  许多组织面临的实际危险,因其所使用的高危堆栈的不同而异。该报告声称,FreeBSD漏洞可能更为广泛,它影响包括Netflix和Yahoo在内的数百万个IT网络以及防火墙和路由器等传统网络设备,不过可能更容易修复。
 
  Forrest研究公司的高级分析师BrianKime说:"那些是易于管理的系统,我们应该能够更新它们。应优先考虑对它们加以修复,因为它们是网络堆栈的一部分。"
 
  在许多情况下,受Name:Wreck影响的实时操作系统就不一样了,因为标准问题仍未得到解决,因此为物联网设备确保安全就无从谈起。修补和更新固件的功能仍然不是一项标准功能,联网设备的OEM厂商甚至可能不再经营--这些联网设备已有些年头,当初并不是为面向互联网而设计的。
 
  Hanselman声称,在那些物联网设备易受攻击的情况下,强有力的安全必须从网络层开始。良好的开头就是直接监控网络中的异常活动--以TCP/IP漏洞为例,这种异常活动有时很难检测到,真正需要的是DNS查询保护之类的技术。
 
  他说:"幸好对于大多数组织来说,DNS监控已变得极其普遍,因为DNS是检测勒索软件的最佳方法之一。大多数组织都应该落实了合理的DNS查询保护措施。"
 
  这些漏洞的活动范围受几个因素的限制,包括受影响的设备是否可以直接访问互联网--上述的许多医疗设备不太可能直接访问,以及修补起来有多容易。此外值得一提的是,到目前为止,没人认为这些设备在外头被人钻空子。然而,打印机可能是被盯上的一个重要目标。
 
  据Kime声称,打印机触手可及,这是由于打印机比较普遍,安全方面往往没有受到重视。一旦打印机中招,它们会提供一条途径,攻击者可以趁机访问网络上其他易受攻击的设备。
 
  他说:"人们很少会评估打印机方面的漏洞,因此它们被威胁分子所利用。一旦不法分子钻了别的空子进入到组织环境,就会持久地利用物联网漏洞。"
 
  当然,Name:Wreck不是近期到处肆虐的唯一一批TCP/IP漏洞。之前Forescout和JSOF已发现了这类安全漏洞的好几个变种,包括在过去一年内发现的Ripple20、Amnesia:33和Number:Jack。专家们一致认为,在可预见的未来,更多的漏洞可能会公之于众。如今存在的IP堆栈为数不多,这意味着许多IP堆栈用于一大批的应用环境,它们通常被认为是安全的。
 
  Hanselman说:"大家都以为自己可以从青睐的任何开源软件发行版获取IP堆栈,以为这些IP堆栈应该得到了妥善加固。在大多数情况下,确实如此,但是网络堆栈在处理相当复杂的状态管理,可能会有意想不到的方式来操纵它们。"

第三十三届CIO班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:zhangwenwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。