安全厂商Forescout和JSOFResearch最近披露了FreeBSD和三个为物联网设计的流行实时操作系统使用的TCP/IP堆栈中的一系列漏洞。这九个漏洞可能会影响数亿台设备。NucleusNET、IPNet、NetX是受这批漏洞影响的三个操作系统。Forescout和JSOF发布的联合报告将这批漏洞统一命名为:Wreck。由于多种原因,TCP/IP堆栈特别容易受到攻击,Forescout在描述这批漏洞的报告中写道,包括:广泛使用、许多堆栈是很久以前开发的,以及由于未经身份验证的跨越网络边界的攻击。功能和协议,使它们成为有吸引力的攻击面。域名系统(DNS)基本上也存在同样的问题,很容易被Name:Wreck漏洞利用。“DNS是一种复杂的协议,通常会产生漏洞;这些漏洞经常被外部攻击者利用,以同时控制数百万台设备,”该报告称,据451Research首席研究分析师埃里克汉塞尔曼称,Name:Wreck允许犯罪分子启动拒绝服务攻击和远程代码执行,很可能是由于DNS响应内容的代码解析中编程实践不当造成的。事实上,系统中用于将DNS响应压缩为更小、更便于传输的数据包的关键值未经系统验证,可能会被犯罪分子操纵。“DNS攻击的困难在于DNS响应可能包含大量信息,”Hanselman说。“格式选项太多了,DNS响应返回大量数据的情况并不少见;如果您不跟踪DNS查询,请在您自己的环境中允许它。”使用OpenDNS,很难跟踪响应以确保有状态的跟进。”许多组织面临的实际危险因他们使用的高风险堆栈而异。该报告称FreeBSD漏洞可能更为普遍,影响了数百万人包括Netflix和雅虎在内的IT网络,以及防火墙和路由器等传统网络设备,尽管修复起来可能更容易。“这些系统易于管理,我们应该能够更新它们。”修复它们应该是一个优先事项,因为它们是网络堆栈的一部分,”ForrestResearch的高级分析师BrianKime说。在许多情况下,受Name:Wreck的影响,实时操作系统并非如此受影响,因为标准问题仍未解决,因此物联网设备的安全性是不可能的。修补和更新固件的能力仍然不是一项标准功能,连接设备的原始设备制造商——这些设备已有多年历史,最初并非设计用于面向互联网——甚至可能不再开展业务。Hanselman声称,在物联网设备易受攻击的情况下,强大的安全性必须从网络层开始。一个好的起点是直接监控网络的异常活动——在TCP/IP漏洞的情况下,这种类型的异常活动有时很难检测到,真正需要的是像DNS查询保护这样的东西。“幸运的是,对于大多数组织来说,DNS监控已经变得非常普遍,因为DNS是检测勒索软件的最佳方式之一,”他说。“大多数组织都应该有合理的DNS查询保护措施。”漏洞该活动的范围受到几个因素的限制,包括受影响的设备是否可以直接访问互联网——这对于上述许多医疗设备来说不太可能——以及打补丁的难易程度。另外值得一提的是,到目前为止,还没有人认为这些设备正在被外部利用。但是,打印机可能是一个重要的目标。根据Kime的说法,打印机触手可及的事实是由于它们无处不在,而安全方面往往没有受到重视。一旦受到威胁,打印机就会为攻击者提供访问网络上其他易受攻击设备的途径。“打印机中的漏洞很少被评估,因此它们被威胁行为者利用,”他说。“一旦犯罪分子找到另一种进入组织环境的方式,物联网漏洞就会被持续利用。”当然,Name:Wreck并不是最近出现的唯一一批TCP/IP漏洞。Forescout和JSOF之前已经发现了该安全漏洞的多个变体,包括去年发现的Ripple20、Amnesia:33和Number:Jack。专家一致认为,在可预见的未来,可能会有更多漏洞被公开。今天存在的IP栈并不多,这意味着许多IP栈被用于大量的应用程序环境中,它们通常被认为是安全的。“人们认为他们可以从他们喜欢的任何开源软件分发中获得IP栈,并且应该对其进行适当的强化,”Hanselman说,可能会有意想不到的方式来操纵它们。”
