TCP/IP堆栈漏洞威胁物联网设备

安全供应商Forescout和JSOF Research本周披露了 FreeBSD 使用的 TCP/IP 堆栈和为物联网设计的三个流行实时操作系统中的一组漏洞。这九个漏洞可能会影响 1 亿台设备。

Nucleus NET、IPNet 和 NetX 是受漏洞影响的其他操作系统，Forescout 和 JSOF 发布的联合报告将其命名为 Name:Wreck。

Forescout在一份关于漏洞的报告中写道，TCP/IP 堆栈特别容易受到攻击有几个原因，包括广泛使用、许多此类堆栈是很久以前创建的，以及它们形成了一个有吸引力的攻击面，谢谢跨网络边界的未经身份验证的功能和协议

域名系统也存在许多相同的问题，在 Name:Wreck 漏洞的情况下可以利用这些问题。

报告称：“DNS 是一种复杂的协议，往往会产生易受攻击的实现，外部攻击者通常可以利用这些漏洞同时控制数百万台设备。”

名称：据451 Research首席研究分析师 Eric Hanselman 称，Wreck 可以允许拒绝服务攻击和远程代码执行，并且可能是由于 DNS 响应内容的代码解析中的编码实践不佳造成的。本质上，系统中用于将 DNS 响应压缩为更小且更易于移动的包的关键值未经系统验证，并且可能被不良行为者操纵。

“DNS 攻击的困难在于 DNS 响应可能包含大量信息，”Hanselman 说。“有太多的格式选项，以至于在 DNS 响应中返回大量数据并不少见，如果您不跟踪 DNS 查询并且在您的环境中允许 OpenDNS，那么很难跟踪响应以确保您有状态跟进。”

一个组织所面临的实际危险根据其使用的易受攻击的堆栈而有所不同。报告称，FreeBSD 漏洞可能更为普遍——它影响了数以百万计的 IT 网络，包括 Netflix 和雅虎，以及防火墙和路由器等传统网络设备，但可能更容易修复。

“这些都是可管理的系统——我们应该能够更新它们，” Forrester高级分析师 Brian Kime 说。“[而且] 应该优先对它们进行补救，因为它们是您网络堆栈的一部分。”

在许多情况下，受 Name:Wreck 影响的实时操作系统并非如此，因为确保物联网设备安全的标准问题仍然存在。修补和更新固件的能力仍然不是标准功能，连接设备的 OEM 可能已经很老了，而且可能一开始就没有设计成面向互联网的 - 甚至可能不再运行.

Hanselman 表示，在这些物联网设备易受攻击的情况下，强大的安全性必须从网络层开始。直接监控网络中的异常活动（同样，在 TCP/IP 漏洞的情况下有时很难检测到）是一个好的开始，但真正需要的是 DNS 查询保护等技术。

“幸运的是，对于大多数组织来说，DNS 监控已经变得更加普遍，因为 DNS 是检测勒索软件的最佳方法之一，”他说。“大多数组织都应该有合理的 DNS 查询保护。”

这些漏洞的活动范围受到几个因素的限制，包括受影响的设备是否可以直接访问互联网——在所描述的许多医疗设备的情况下不太可能——以及它们的可修补程度。更重要的是，值得注意的是，目前还没有人被认为在野外被利用过。然而，值得关注的一个关键目标可能是打印机。

根据 Kime 的说法，打印机具有很高的可访问性，因为它们或多或少无处不在，而且往往不会引起太多的安全注意，而且一旦受到攻击，它们可以提供一个向量，通过该向量可以访问网络上的其他易受攻击的设备.

“人们很少会评估它们的漏洞，因此它们会被威胁者利用，”他说。“一旦他们利用其他东西进入环境，我可以看到不良行为者使用物联网漏洞作为持久性。”

名称：当然，Wreck 远非近期记忆中唯一一个丑陋的 TCP/IP 漏洞集。Forescout 和 JSOF 仅在过去一年就发现了多个此类安全漏洞家族，包括 Ripple20、Amnesia:33 和 Number:Jack，专家一致认为可能会发现更多漏洞在可预见的未来。一方面，根本没有那么多 IP 堆栈存在，这意味着许多 IP 堆栈用于大量应用程序，并且通常被认为是安全的。

“在这种情况下，每个人都认为他们可以从他们最喜欢的 [开源软件] 发行版中提取 IP 堆栈，并且这些应该得到很好的强化，”Hanselman 说。“在大多数情况下，这是真的，但网络堆栈正在处理相当复杂的状态管理，并且可能有意想不到的方式来操纵这些。”