首页 >> 网络安全 >>系统安全 >> TCP / IP堆栈缺陷使数百万物联网设备面临风险
详细内容

TCP / IP堆栈缺陷使数百万物联网设备面临风险

时间:2020-12-08        阅读

数以百万计的消费者和企业IoT设备在其TCP / IP堆栈中存在软件漏洞,这可能导致远程执行代码,拒绝服务或完全接管设备。Forescout将该漏洞称为“失忆症”批次:33。多达150个供应商的设备可能会受到攻击。


这些缺陷影响着各种各样的嵌入式系统,包括医疗设备,工业控制系统,路由器和交换机-几乎所有运行脆弱的TCP / IP堆栈的东西。受影响最大的设备类别是企业和消费者物联网设备。


该研究来自Forescout Technologies,该公司分析了七个开源TCP-IP堆栈,这是名为Project Memoria的研究的一部分。


在某些情况下,“您可以使用单个[数据]数据包使设备崩溃,” Forescout研究副总裁Elisa Costante在接受ISMG采访时说。根据Forescout的报告,许多问题源于不良的软件开发实践,尤其是缺少基本的输入验证。


Forescout的研究将在2020年黑帽欧洲大会上发表。


TCP / IP堆栈:关键组件

该研究是Forescout对TCP / IP堆栈的探索的继续。6月,Forescout在一个由俄亥俄州的公司Treck制造的单一但广泛使用的TCP / IP堆栈中发现了所谓的Ripple20缺陷(请参阅数百万个连接设备具有可利用的TCP / IP缺陷)。


这次,Forescout将其研究范围扩展到更多类型的TCP / IP堆栈。堆栈可实现基本的网络通信。软件开发人员不开发自己的软件,而是在其产品或这些项目的分支中使用现成的开源堆栈。


Costante说:“我们分析了七个(TCP / IP)堆栈中的四个,发现了... 33个漏洞。”


在uIP,FNET,PicoTCP和Nut / Net中发现了这些缺陷。Forescout还检查了IwIP,CycloneTCP和uC / TCP-IP,但没有发现任何最常见的编码错误。但是Forescout表示,这并不意味着这些TCP / IP堆栈不一定没有问题。


许多问题都围绕域名系统功能。


“我们发现DNS,TCP和IP子堆栈最容易受到攻击,” Forescout在其报告中说。“由于其复杂性,尤其是DNS似乎容易受到攻击。”

3.jpg

咨询公司ioXt的首席技术官兼ioXt联盟的董事会成员Brad Ree表示,担心在Forescout的调查结果中看到IPv6漏洞。许多物联网设备开始使用6LoWPAN(低功率无线个人局域网),这是一种网络协议,可让低功率或受限设备使用IPv6。


Ree说:“消费者将很快失去对接收到一个格式错误的数据包时会锁定的设备的耐心。” “如果我们必须告诉我们的父母'您重置冰箱了吗?',消费者物联网将失败。”


正在进行的外展工作

主要供应商和计算机安全组织正在广泛努力传播有关漏洞的消息,并在可能的情况下实施修补程序。但是问题很困难:必须识别,评估易受攻击的产品,然后实施修补程序。Costante说,某些设备可能无法打补丁。


另一个问题是,大多数物联网设备没有随附软件物料清单(SBOM),这些清单是设备内部包含哪些软件组件的列表。这意味着确定哪些设备有问题并不一定很简单(请参阅确保软件供应链安全)。


“由于缺少原料软件法案的,它往往是很难确定一个有漏洞的软件是否是在设备,”安德烈海东青,联合创始人兼CEO Binaré,特别致力于在物联网设备上预部署。相反,当发现漏洞时,联系所有可能受影响的供应商非常耗时。”


因此,Forantecout对受影响设备数量的估计很可能是“冰山一角”。


她说:“这项研究引起的最具挑战性的问题之一就是确定受影响的设备。” “因为我们在谈论开源代码,而不是在谈论单个设备,单个模型或单个供应商……很难评估实际影响了多少设备。”


Forescout从8月开始通知开源项目的维护者。Forescout并未通知每个供应商,而是与ICS-CERT,CERT协调中心,德国联邦信息安全局(BSI)和JPCERT协调中心合作,分发有关Amesia的警报。

4.jpg

为了发现漏洞,Forescout研究人员使用了libFuzzer,手动分析和代码审查以及一个预先存在的漏洞库。


Forescout在其报告中警告说,对缺陷的可利用性进行概括是很棘手的。举个例子,表面上看起来只有几个字节的信息泄漏似乎并没有那么严重,但是它可能“成为更大的利用链的一部分,其影响要远大于其总和,” Forescout说。


另外,被认为是嵌入式系统的IoT或OT设备通常不具备支持现代技术以缓解漏洞利用的硬件或软件,例如不可执行的数据存储器或地址空间布局随机化。


Forescout写道:“嵌入式系统中缺乏漏洞利用缓解措施和内存保护功能的缺乏,使漏洞利用变得比现代IT设备更加容易。”

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录