Forescout安全研究人员昨日披露了四个开源TCP/IP库中的33个安全漏洞(代号AMNESIA:33),影响了来自150多家厂商智能设备和工业互联网产品的数百万客户.Forescout的研究人员估计,今天发现的数百万消费和工业设备受到他们发现的33个安全漏洞(其中四个是高危漏洞)的影响,几乎所有你能想到的连接/物联网设备一切皆有可能:包括智能手机、游戏机、传感器、片上系统(SOC)板、HVAC系统、打印机、路由器、交换机、IP摄像机、自助结账亭、RFID资产跟踪器、徽章阅读器、不间断电源和各种工业设备。33个错误存在于四个开源TCP/IP堆栈中AMNESIA:33个错误存在于四个广泛使用的开源库中:uIP、FNET、picoTCP和Nut/Net。在过去的二十年里,设备制造商经常将这四个库之一添加到他们的设备固件中,以使其产品能够支持TCP/IP(当今使用最广泛的网络通信协议)。由于TCP/IP堆栈提供了设备的关键功能,Forescout表示,如果被利用,这33个漏洞将允许攻击者进行范围广泛的攻击,例如:远程代码执行(RCE)以控制目标设备;拒绝服务(DoS)会损害功能并影响业务运营;信息泄漏(infoleak)以获得潜在的敏感信息;DNS缓存中毒攻击,用于将设备指向恶意网站。例如,可以远程利用可连接到公司外部接口的路由器等网络设备。其他设备,如传感器和工业设备,可能需要攻击者首先获得对公司内部网络的访问权限。从RIPPLE20到AMNESIA:33受到去年在TreckTCP/IP堆栈中发现Ripple20漏洞的启发,Forescout在今年早些时候启动了ProjectMemoria以分析其他七个TCP/IP堆栈的安全性(如下),以及结果AMNESIA:33漏洞被发现。“我们的分析结合使用了自动模糊测试(基于libFuzzer的白盒代码检查)、通过Joern代码查询引擎进行变体搜索指导的手动分析、现成的漏洞语料库和手动代码审查,”研究团队说。从上面公布的研究结果可以看出,研究团队并未在lwIP、uC/TCP-IP和CycloneTCP这三个栈中发现任何漏洞。“虽然这并不意味着这些堆栈中没有漏洞,但我们观察到这三个堆栈具有非常一致的边界检查并且通常不依赖于鸟枪解析,”研究人员补充道。虽然AMNESIA:33漏洞很容易找到和修补,但真正的麻烦才刚刚开始。就像Ripple20漏洞一样,设备供应商需要更新TCP/IP堆栈并将其集成到他们产品的更新固件中。虽然在某些情况下(例如智能手机或网络设备)设备具有内置的无线更新机制,修补漏洞可能很容易,但许多其他易受攻击的设备甚至不提供更新固件的能力,这意味着一些在产品生命周期的剩余时间里,设备可能仍然容易受到攻击。在这种情况下,企业可能需要更换设备,或实施反制措施来抵御利用AMNESIA:33漏洞的攻击。但检测漏洞本身就是一项艰巨的工作,Forescout说,因为当今的许多设备都没有附带软件材料清单,而且许多公司甚至不知道他们运行的系统是否使用了四种TCP/IP堆栈。AMNESIA:33无疑打开了物联网的潘多拉魔盒,同时警告世界,智能设备和物联网的生态系统仍然一团糟,很可能在未来数年内仍然是一场安全灾难。根据Forescout的说法,所有这些漏洞都可以归因于糟糕的编码实践,例如缺乏基本的输入验证和霰弹枪解析,这是Ripple20和AMNESIA:33漏洞的共同核心问题。Forescout提供了47页的PDF文档:https://www.forescout.com/company/resources/amnesia33-how-tcp-ip-stacks-breed-critical-vulnerabilities-in-iot-ot-and-it-devices/详细介绍了AMNESIA:33漏洞。以下是从这份47页的PDF文档中摘录的所有“AMNESIA:33”漏洞列表:获取授权】点此阅读作者更多好文
