是的,这是一个陈词滥调,廉价的通用物联网产品可能包含漏洞,有可能暴露数百万甚至数十亿个设备。但是,每次都同样紧迫。现在,物联网安全公司Forescout的新研究突出了开放源互联网协议捆绑包中的33个漏洞,这些漏洞可能使数百万个嵌入式设备暴露于诸如信息拦截,拒绝服务和全面接管之类的攻击中。受影响的设备范围广泛:智能家居传感器和照明器,条形码读取器,企业网络设备,楼宇自动化系统,甚至是工业控制设备。它们很难甚至不是不可能打补丁,并带来了真正的风险,即攻击者可以利用这些漏洞作为进入大量网络的第一步。
在周三举行的黑帽欧洲安全会议上,Forescout的研究人员将详细介绍在七个开放源代码TCP / IP堆栈中发现的漏洞。网络通信协议的集合,用于代理设备和网络(如Internet)之间的连接。该组织估计,来自150多个供应商的数百万台设备可能包含该漏洞,他们统称为“失忆症”:33。
这七个堆栈都是开源的,并且已经以多种形式进行了修改和重新发布。七个中的五个已经存在了将近20年,还有两个自2013年以来已经流通。这种寿命意味着每个堆栈都有很多版本和变体,而没有中央授权来发布补丁。即使有,将代码集成到其产品中的制造商也需要针对其版本和实现主动采用正确的补丁,然后将其分发给用户。
"最让我害怕的是,很难理解这种影响有多大,以及那里还有多少易受攻击的设备," Forescout研究副总裁Elisa Costante说。 "这些易受攻击的堆栈是开源的,因此每个人都可以使用它们并使用它们,而您可以记录它与否。到目前为止,我们已经找到了150个已记录在案的文件。但是我敢肯定,还有很多我们还不知道的其他易受攻击的设备。
甚至更糟的是,在许多情况下,即使设备制造商自己愿意或可以,但实际上也不可行。许多供应商从“片上系统”中获得基本功能,例如TCP / IP堆栈。由第三方硅制造商提供,他们也需要参与修复。而且,与这些参与者中的许多甚至都没有办法发布补丁程序相距甚远。例如,在某些情况下,Forescout的研究人员发现,各种各样设备中的漏洞都可以追溯到一家已经破产且不再营业的SoC制造商。
"这些情况真是太荒谬了,我不知道该说些什么,"长期的物联网黑客,嵌入式安全公司Red Balloon Security的首席执行官Ang Cui说。您可以说物联网安全性很差,这不足为奇。但是,这些类型的大型系统性启示中的每一种都有真正的累积风险,当攻击者出现并开始实际利用它们时,对于大多数人来说,这可能是一个很大的惊喜。我们需要在确保这些产品安全方面做得更好。"
Forescout研究人员发现的许多漏洞都是基本的编程疏忽,例如缺少所谓的输入验证检查,这些检查使系统无法接受有问题的值或操作。想一想一个计算器,当您尝试将其除以零而不是从试图弄清楚该怎么做的压力中崩溃时会产生错误。许多错误是"内存损坏"缺陷(因此被称为失忆症:33),使攻击者可以从设备的内存中读取数据或向其中添加数据,从而使他们可以泄露信息,随意破坏设备或采取控制措施。一些漏洞还与Internet连接机制有关,例如堆栈如何处理域名系统记录和Internet协议寻址(例如IPv4和更新的IPv6)。
由于TCP / IP堆栈非常基础,并且涉及Internet和其他网络连接,因此该漏洞可能将大量信息暴露给攻击者,并且可以被用作渗透到公司或工业网络的垫脚石。至少有四个漏洞可用于远程设备接管。
由于尚不清楚在大多数情况下如何修补错误,因此Forescout选择不公开详细说明受影响的设备。但是,为了提高业界对漏洞的认识,全球许多机构,包括美国国土安全部网络安全和基础设施安全局,CERT协调中心,德国联邦信息安全办公室和日本JPCERT协调中心将于周二发布有关漏洞的警报。
研究结果的一个亮点是,只有嵌入式设备(而不是个人计算机,智能手机,服务器等)易受特定的失忆人群攻击:33漏洞。然而,挑战在于,大多数人和组织甚至无法做出什么决定自己的物联网设备是否易受攻击的方法,而更少地应用修补程序。 IT管理员应尽可能多地修补设备,了解与给定网络连接的设备范围,监视流量模式以发现可疑活动,并对网络进行分段,以使一台受感染的设备无法将攻击者的密钥提供给整个王国。 Forescout还启动了一个名为Project Memoria的程序,以跟踪TCP / IP堆栈漏洞并致力于全球范围内的协调披露。
但就目前而言,像失忆症[33]这样的漏洞比起可以立即治愈的急性疾病,它更易于管理。 "这只是冰山一角," Forescout的Costante说。 "我们需要接受我们将继续解决其中一些未修补的漏洞。
想要最佳工具来健康吗?查看我们的Gear团队精选的最佳健身追踪器,跑步装备(包括鞋子和袜子)和最佳耳机