美国网络安全和基础设施安全局(CISA)12月8日发布了一则安全公告,就影响TCP/IP栈的一系列严重漏洞发出告警。这些漏洞影响数百万的物联网设备和嵌入式系统,包括智能温度计,智能插头和打印机。
这33个漏洞是由Forescout公司的研究人员发现的,被命名为Amnesia: 33,其中三个被评为超危漏洞。Forescout公司的研究人员Daniel dos Santos表示,攻击者利用这些漏洞可以实现一系列恶意攻击,包括内存损坏、拒绝服务、信息泄露和远程执行代码。
研究人员在周二发布的一份报告中指出,利用这些漏洞,攻击者可以控制设备,进而将该设备作为网络的进入点(对于联网设备)、横向移动的支点、在目标网络上的持久点、或作为攻击的最终目标。
Amnesia:33的名称是指大部分的漏洞源于内存损坏,以及有33个漏洞。
虽然研究人员未指明受到这些漏洞影响的具体厂商和设备,但是他们称至少150家厂商受到影响。Amnesia:33背后的许多漏洞源于不良的软件开发实践,例如缺少基本的输入验证。
研究人员分析了七个TCP/IP栈,这些漏洞存在于四个TCP/IP栈中,包括uIP,picoTCP,FNET和Nut/Net,它们是联网设备使用的一系列通信协议。因为多个开源TCP/IP栈受到影响,且这些TCP/IP栈并非由一家公司所有,因此Amnesia:33带来了艰难的补丁管理挑战。
虽然有四个TCP/IP协议栈受到影响,但研究人员警告说,其中一些协议栈已经分支出去,或者被用于多个代码库,这给补丁管理带来了进一步的困难。
研究人员表示,目前只有Contiki-NG,PicoTCP-NG,FNET和Nut/Net项目发布了正式补丁。原始的uIP,Contiki和PicoTCP项目尚未发布正式补丁,研究人员认为这些项目的生命周期已经结束,但是仍可下载。一些使用这些原始栈的厂商和项目,例如open-iscsi,发布了自己的补丁。
在缓解措施方面,研究人员建议采取各种措施保护网络免受Amnesia:33 TCP/IP漏洞的影响,包括在非必要时禁用或屏蔽IPv6流量,将设备配置为尽可能依赖内部DNS服务器,并监视所有网络流量,以查找试图利用已知漏洞的畸形数据包。
—————————————————————————————————————
作者:Lindsey O’Donnell
来源:Threat Post
编译:猫冬
来源:freebuf.com 2020-12-09 17:38:55 by: 偶然路过的围观群众
请登录后发表评论
注册