安全研究人员在数百万个已连接设备使用的四个开源库中发现了33个漏洞,这些漏洞使它们容易受到黑客攻击。
由Forescout Technologies Inc.的研究人员今天详细描述的被称为“失忆症:33”的漏洞会影响源TCP-IP堆栈uIP,FNET,picoTCP和Nut / Net。这些漏洞主要导致内存损坏,从而使攻击者能够破坏设备,执行恶意代码,执行拒绝服务攻击并窃取敏感信息。
漏洞(尤其是在消费者“物联网”设备中)并不是新漏洞,但“失忆症:33”漏洞的不同之处在于暴露的设备的范围很广。据信,来自150多家供应商的设备将开源库与数百万个设备一起使用-不仅包括消费物联网设备,还包括嵌入式组件,例如片上系统,连接模块,OEM板,包括访问控制,IP在内的运营技术摄像机,协议网关和供暖,通风和空调系统,以及网络和办公技术(例如打印机,路由器和服务器)可能会受到影响。
确切地说,受影响的设备数量“很难评估”,因为易受攻击的堆栈广泛分布,高度模块化,并集成在无证件,深度嵌入式子系统中。由于同样的原因,这些漏洞也很难消除。
漏洞本身被描述为由于不良的软件开发实践(例如,缺少基本输入验证)而引起的。
该发现已在政府级别得到认真对待,美国国土安全部网络安全和基础设施局发布 了ICS咨询。据CISA称,一些受影响的公司已经发布了针对该漏洞的补丁程序,包括Devolo AG,EMU Electronic AG,FEIG Electronics Inc.,Genetec Inc.,Harting Inc.,Hensoldt AG,Microchip Technology Inc.,Nontech,NT- Ware Systemprogrammierungs-GmbH,TagMaster AB,Siemens AG,Uniflow和Yanzi Networks AB。
DevOps自动化公司Sonatype全球解决方案架构总监Ilkka Turunen告诉SiliconANGLE,今天的消息提供了更多的证据,表明它是开源的开放季节。他说:“现代软件不再是从头开始构建的,而是使用预制的开源组件。” “但是,由于已知有11%的组件具有已记录的漏洞,很明显,今天的发现表明一个更大的问题–公司在保护软件供应链方面做得还不够。”
他补充说,为缓解这些问题,至关重要的是,企业必须为每个版本制定软件物料清单。他说:“像清单上证明软件供应链的成分一样,物料清单使公司能够快速确定设备中是否存在易受攻击的软件组件,并采取措施予以解决。”
电子设计自动化公司Synopsys Inc.的高级销售工程师Boris Cipot指出,物联网用户需要意识到,市场上许多用于家中的设备已经或已经超过了制造商提供的维护保证期限。
他说:“换句话说,困难在于确保对设备进行修补,尤其是对于任何低成本/大批量产品而言。” “同样的担忧也适用于软件中可能出现的许可证冲突问题。因此,此类产品的制造商必须投入更多精力,才能在发布之前实现所有尺寸的正确处理。”
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。