WRECK漏洞影响近1亿个物联网设备多个用户和企业设备。攻击者可以利用这些漏洞来控制系统。这些漏洞被称为“WRECK”,是名为ProjrctMemoria的程序的最新成果。该计划旨在研究广泛使用的TCP/IP堆栈的安全性,该堆栈被各种供应商整合到固件中以提供Internet和网络连接功能。研究人员表示,这些漏洞与域名系统(DNS)的实施有关。它们会导致拒绝服务(DoS)或远程代码执行(RCE),使攻击者能够使目标设备脱机或控制它们。这是第五次在支持数百万互联网连接设备的协议栈中发现安全漏洞。四个TCP/IP堆栈中的问题FreeBSD(易受攻击的版本:12.1)-BSD家族中最流行的操作系统之一。IPnet(易受攻击的版本:VxWorks6.6)——最初由Interpeak开发,现在由WindRiver维护,用于VxWorks实时操作系统(RTOS)。NetX(易受攻击的版本:6.0.1)——ThreadXRTOS的一部分,ThreadXRTOS现在是微软以AzureRTOSNetX的名义维护的一个开源项目。NucleusNET(易受攻击的版本:4.3)-由西门子公司MentorGraphics维护的NucleusRTOS的一部分,用于医疗、工业、消费、航空航天和物联网设备。据Forescout称,黑客可能会利用这些漏洞窃取敏感数据、修改设备或使设备离线以进行破坏,从而对政府或企业服务器、医疗设施、零售商或制造公司造成重大损害。攻击者还可以篡改住宅或商业空间中的关键建筑功能,以控制供暖和通风、禁用安全系统或篡改自动照明系统。名称:WRECK漏洞研究人员在分析上述TCP/IP堆栈中的DNS实现时,研究了该协议的消息压缩功能。DNS响应数据包包含相同域名或部分域名的情况并不少见,因此存在压缩机制来减小DNS消息的大小。Forescout在4月13日的一份报告中解释说,虽然某些协议不正式支持压缩,但该功能存在于许多现实世界的操作中。发生这种情况是“由于代码重用或对规范的特殊理解”。然而,并不是所有的NAME:WRECKs都能被利用到同样的效果。其中最具潜在影响的是远程代码执行漏洞,计算得出的最高严重性得分为9.8(满分10分)。以下是所有九个漏洞、它们的标识号和严重性得分的摘要。从这张表可以看出,并不是所有的漏洞都与信息压缩有关。这些特殊漏洞是研究的副产品,可以与其他漏洞链接以放大攻击的影响。Forescout的报告深入研究了利用该公司在开源TCP/IP堆栈中发现的多个NAME:WRECK漏洞以及AMNESIA:33集合中的漏洞可能导致远程代码执行攻击的技术细节。该公司还讨论了DNS消息解析器中的多个重复执行问题,称为反模式,作为NAME:WRECK漏洞的原因:缺少TXID验证,随机TXID和源UDP端口不足缺少域名字符验证缺少标签和名称长度验证缺失NULL终止验证缺失记录计数字段验证缺失域名压缩指针和偏移量验证FreeBSD、NucleusNET和NetX都为NAME:WRECK提供补丁,受影响的产品只需安装修复程序即可解决这些问题。然而,这个过程不太可能有100%的成功率,因为??有几个障碍:首先,运营商需要识别受影响设备上运行的TCP/IP协议栈。这并不总是一件容易的事,因为有时连设备供应商都不知道。另一个障碍是应用补丁,在许多情况下需要手动安装。安全工程师可以使用一些缓解信息来开发检测DNS漏洞的签名:发现和清点运行易受攻击堆栈的设备执行分段控制和适当的网络卫生监控受影响的设备供应商发布的增量补丁配置设备以依赖内部DNS服务器监控所有网络流量以防止恶意数据包。此外,Forescout还提供了两个开源工具,可以帮助确定目标网络设备是否正在运行特定的嵌入式TCP/IP协议栈(ProjectMemoriaDetector)并用于检测类似NAME:WRECK的问题(与Joern合作)。
