揭示了影响150多家不同技术公司制造的智能设备的33个TCP / IP堆栈漏洞,这再次引起人们对开发水平上对IoT安全的松懈态度的关注,并且能够在每台设备上修补它们的可能性很低,这意味着用户必须冒着妥协的风险,或者大加采取永远无法保证保护的预防措施。
被发现的Forescout研究小组称为“失忆症:33”,这些漏洞已经成为美国CISA网络安全中心发出新警报的主题。它们是作为Forescout的Project Memoria项目的一部分而发现的,该项目旨在研究TCP / IP堆栈的安全性,该出版物是该倡议下的首次披露。
Forescout透露,其中四个漏洞非常关键,可以在目标设备上实现远程代码执行(RCE),并使攻击者可以轻松进入网络(无论是消费者还是企业),以建立持久性,横向移动并进行进一步的攻击,或者进行攻击。设备进入大型物联网僵尸网络。其他原因则来自不良的软件开发实践,并与内存损坏有关,内存损坏可能导致拒绝服务,信息泄漏或允许代码执行。
嵌入式设备,片上系统,网络硬件,OT设备以及成千上万个企业和消费者IoT设备的操作系统中使用的多个开源TCP / IP堆栈受到影响,Forescout表示这意味着一个漏洞可能轻松,无声地分布在多个代码库,开发团队,公司和产品以及数百万个设备中。
Synopsys的高级安全策略师Jonathan Knudsen说,这些披露突出了开发级别的巨大问题:“安全必须是软件开发每个阶段的一部分。在应用程序设计期间,威胁建模和体系结构风险分析至关重要。在开发过程中,静态分析有助于最大程度地减少弱点,软件组成分析(SCA)可以最大程度地减少第三方组件的风险。
“模糊测试通过帮助开发人员将应用程序加固为意外或恶意的协议输入,从而将风险降到最低。当软件组件中的新漏洞可能被发现并且可能需要软件更新时,安全甚至在软件维护中起着关键作用。”
正如Nozomi Networks的技术推广员Chris Grove指出的那样,由于失忆症的严重性和复杂性,其遗留问题33尤其令人关注。
格鲁夫解释说,没有迹象表明嵌入式设备的数量或种类有所减少,其中许多嵌入式设备开发便宜,便宜,发布并被人们遗忘了,而攻击者在披露信息之前通常可以利用相当长的时间。
“知道问题的根源(部署易受攻击的嵌入式和IoT系统)正以指数级和惊人的速度增长,因此很明显,需要考虑并适当减轻风险。在许多情况下,很难识别嵌入式和非托管技术,更不用说将其视为托管资产清单的一部分了。”
“确定了嵌入式系统后,可能难以确定和管理这些设备的预期行为。此外,了解漏洞被识别后如何缓解是另一回事。实际上,有时无法修补,使运营商意识到他们别无选择,只能承担风险。”
Synopsys的Knudsen表示同意:“对于许多IoT设备,将功能正常的产品快速推向市场是优先的,这意味着制造商可能没有自动的更新机制,或者甚至可能没有资源来维护已发布的产品。”
Forescout的团队表示,由于识别和修补易受攻击的设备的复杂性,在组织一级管理响应确实是一个挑战。
他们说:“我们建议采用提供细粒度设备可见性,允许监视网络通信并隔离易受攻击的设备或网段的解决方案,以管理这些漏洞带来的风险。”
Synopsys的高级安全工程师Boris Cipot同意,由于受影响设备的制造商未能正确使用它,因此用户必须主动采取行动。
Cipot说:“部署缓解技术,例如将设备视为不可信的设备,监视其行为,创建可在其中工作的子网以及遵守最小特权原则,这只是保护其资产的几步。”
但是,Rapid7研究主管Tod Beardsley表示,《失忆症:33》的披露并不一定会导致智能设备和网络的大规模破坏。
他说:“我怀疑我们很快就会利用这些漏洞看到主动攻击,这主要是因为在确定可能的目标和配置时,白皮书中没有提供足够的信息让攻击者或防御者真正采取行动。”
“当发布概念验证漏洞时,情况可能会有所改变,但即使如此,本文中描述的攻击似乎仍要求攻击者处于内部特权人员的位置,或诱使最终用户诱使攻击者控制的端点做出响应。”
内容继续在下面我同意TechTarget的使用条款,隐私政策,并将我的信息转移到美国进行处理以向我们提供隐私政策中所述的相关信息。
我同意TechTarget及其合作伙伴正在处理我的信息,以便通过电话,电子邮件或其他方式就与我的专业兴趣相关的信息与我联系。我可以随时退订。
通过提交我的电子邮件地址,我确认我已阅读并接受使用条款和同意声明。