2021年8月4日,JFrog和Forescout的研究人员发布了一份联合报告,公开披露了在/IP堆栈中发现的14个安全漏洞。Forescout和JFrogSecurity研究人员在NicheStack中发现的14个漏洞统称为“INFRA:HALT”,允许远程代码执行、拒绝服务、信息泄露、TCP欺骗和DNS缓存中毒。Forescout指出,艾默生、霍尼韦尔、三菱电机、罗克韦尔自动化和施耐德电气等其他主要OT设备供应商都是堆栈的原始开发商InterNiche的客户。由于此漏洞存在于OT环境中,因此受影响最大的垂直领域是制造业。INFRA:NicheStack中的HALT漏洞在过去两年中,来自多家公司的研究人员亲自探索了物联网、OT和嵌入式设备/系统中使用的各种TCP/IP堆栈的安全性,并记录了他们的发现。NicheStackTCP/IP堆栈由InterNicheTechnologies于1996年开发。自成立以来,它已被各种原始设备制造商(OEM)以多种“风格”分发,并作为其他TCP/IP堆栈的基础。它广泛部署在各种操作技术(OT)设备中,例如非常流行的西门子S7PLC。对于此次发现的漏洞,研究人员解释说,“如果这些漏洞被利用,犯罪分子可以控制用于控制照明、电力、安全和消防系统的楼宇自动化设备,以及用于运行流水线、机器的设备。和机器人。设备的可编程逻辑控制器(PLC)。这可能会对工业运营造成严重破坏,并进一步为攻击者提供对物联网设备的访问权限。一旦实现访问权限,堆栈就可以成为在IT网络中传播感染性恶意软件的工具漏洞入口点.》修复及缓解建议目前,HCCEmbedded已经针对受影响的NicheStack版本(即NicheStackv4.3之前的所有版本)发布了相关补丁。建议相关供应商(涉及嵌入式网络)及时升级更新,并向客户提供自己的更新。目前尚不清楚有多少设备在使用易受攻击的堆栈版本,但根据相关数据显示,该堆栈已被近200家设备供应商使用,其中包括全球大多数顶级工业自动化公司。此外,Forescout还提供了一个开源脚本,企业管理员可以使用该脚本来检测运行NicheStack(以及其他易受攻击的TCP/IP堆栈)的设备。除了实施补丁之外,安全专家还敦促管理员使用网络分段来降低易受攻击设备的风险,并监控所有网络流量中是否存在试图利用已知漏洞或零日漏洞的恶意数据包。参考:helpnetsecurity
