安全供應(yīng)商Forescout和JSOF研究公司最近披露了FreeBSD以及為物聯(lián)網(wǎng)設(shè)計(jì)的三款流行實(shí)時(shí)操作系統(tǒng)使用的TCP/IP堆棧存在的一系列漏洞。這九個(gè)漏洞可能會(huì)影響上億部設(shè)備。

NucleusNET、IPNet和NetX是受這批漏洞影響的三款操作系統(tǒng)，F(xiàn)orescout和JSOF發(fā)布的聯(lián)合報(bào)告將這批漏洞統(tǒng)一命名為Name:Wreck。

[[414766]]

Forescout在介紹這批漏洞的報(bào)告中寫道，TCP/IP堆棧特別易受攻擊，原因有幾個(gè)，包括：使用廣泛，許多堆棧是很久以前開發(fā)的，以及由于跨網(wǎng)絡(luò)邊界的未經(jīng)身份驗(yàn)證的功能和協(xié)議，使它們成了誘人的攻擊面。

域名系統(tǒng)(DNS)基本上存在同樣的問題，很容易因Name:Wreck漏洞而被人鉆空子。

報(bào)告稱："DNS是一種復(fù)雜的協(xié)議，往往衍生出易受攻擊的方法;這些漏洞常常被外部攻擊者所利用，以同時(shí)控制數(shù)百萬個(gè)設(shè)備。"

據(jù)451Research的首席研究分析師EricHanselman聲稱，Name:Wreck讓不法分子可以發(fā)動(dòng)拒絕服務(wù)攻擊和遠(yuǎn)程執(zhí)行代碼，很可能是DNS響應(yīng)內(nèi)容的代碼解析中糟糕的編程實(shí)踐造成的。實(shí)際上，系統(tǒng)中用于將DNS響應(yīng)壓縮成更小、更易于傳輸?shù)某绦虬囊粋€(gè)關(guān)鍵值未經(jīng)過系統(tǒng)的驗(yàn)證，也會(huì)被不法分子操縱。

Hanselman說："DNS攻擊的困難在于，DNS響應(yīng)可能含有大量的信息。格式選項(xiàng)實(shí)在太多了，DNS響應(yīng)中返回大量數(shù)據(jù)的情況并不罕見;如果不跟蹤DNS查詢，允許在自己的環(huán)境中使用OpenDNS，就很難跟蹤響應(yīng)，以確保有狀態(tài)的后續(xù)行動(dòng)。"

許多組織面臨的實(shí)際危險(xiǎn)，因其所使用的高危堆棧的不同而異。該報(bào)告聲稱，F(xiàn)reeBSD漏洞可能更為廣泛，它影響包括Netflix和Yahoo在內(nèi)的數(shù)百萬個(gè)IT網(wǎng)絡(luò)以及防火墻和路由器等傳統(tǒng)網(wǎng)絡(luò)設(shè)備，不過可能更容易修復(fù)。

[[414767]]

Forrest研究公司的高級(jí)分析師BrianKime說："那些是易于管理的系統(tǒng)，我們應(yīng)該能夠更新它們。應(yīng)優(yōu)先考慮對(duì)它們加以修復(fù)，因?yàn)樗鼈兪蔷W(wǎng)絡(luò)堆棧的一部分。"

在許多情況下，受Name:Wreck影響的實(shí)時(shí)操作系統(tǒng)就不一樣了，因?yàn)闃?biāo)準(zhǔn)問題仍未得到解決，因此為物聯(lián)網(wǎng)設(shè)備確保安全就無從談起。修補(bǔ)和更新固件的功能仍然不是一項(xiàng)標(biāo)準(zhǔn)功能，聯(lián)網(wǎng)設(shè)備的OEM廠商甚至可能不再經(jīng)營(yíng)--這些聯(lián)網(wǎng)設(shè)備已有些年頭，當(dāng)初并不是為面向互聯(lián)網(wǎng)而設(shè)計(jì)的。

Hanselman聲稱，在那些物聯(lián)網(wǎng)設(shè)備易受攻擊的情況下，強(qiáng)有力的安全必須從網(wǎng)絡(luò)層開始。良好的開頭就是直接監(jiān)控網(wǎng)絡(luò)中的異?；顒?dòng)--以TCP/IP漏洞為例，這種異?；顒?dòng)有時(shí)很難檢測(cè)到，真正需要的是DNS查詢保護(hù)之類的技術(shù)。

他說："幸好對(duì)于大多數(shù)組織來說，DNS監(jiān)控已變得極其普遍，因?yàn)镈NS是檢測(cè)勒索軟件的最佳方法之一。大多數(shù)組織都應(yīng)該落實(shí)了合理的DNS查詢保護(hù)措施。"

這些漏洞的活動(dòng)范圍受幾個(gè)因素的限制，包括受影響的設(shè)備是否可以直接訪問互聯(lián)網(wǎng)--上述的許多醫(yī)療設(shè)備不太可能直接訪問，以及修補(bǔ)起來有多容易。此外值得一提的是，到目前為止，沒人認(rèn)為這些設(shè)備在外頭被人鉆空子。然而，打印機(jī)可能是被盯上的一個(gè)重要目標(biāo)。

據(jù)Kime聲稱，打印機(jī)觸手可及，這是由于打印機(jī)比較普遍，安全方面往往沒有受到重視。一旦打印機(jī)中招，它們會(huì)提供一條途徑，攻擊者可以趁機(jī)訪問網(wǎng)絡(luò)上其他易受攻擊的設(shè)備。

他說："人們很少會(huì)評(píng)估打印機(jī)方面的漏洞，因此它們被威脅分子所利用。一旦不法分子鉆了別的空子進(jìn)入到組織環(huán)境，就會(huì)持久地利用物聯(lián)網(wǎng)漏洞。"

當(dāng)然，Name:Wreck不是近期到處肆虐的唯一一批TCP/IP漏洞。之前Forescout和JSOF已發(fā)現(xiàn)了這類安全漏洞的好幾個(gè)變種，包括在過去一年內(nèi)發(fā)現(xiàn)的Ripple20、Amnesia:33和Number:Jack。專家們一致認(rèn)為，在可預(yù)見的未來，更多的漏洞可能會(huì)公之于眾。如今存在的IP堆棧為數(shù)不多，這意味著許多IP堆棧用于一大批的應(yīng)用環(huán)境，它們通常被認(rèn)為是安全的。

Hanselman說："大家都以為自己可以從青睞的任何開源軟件發(fā)行版獲取IP堆棧，以為這些IP堆棧應(yīng)該得到了妥善加固。在大多數(shù)情況下，確實(shí)如此，但是網(wǎng)絡(luò)堆棧在處理相當(dāng)復(fù)雜的狀態(tài)管理，可能會(huì)有意想不到的方式來操縱它們。"