安全供应商Forescout和JSOF研究公司最近披露了FreeBSD以及为物联网设计的三款流行实时操作系统使用的TCP/IP堆栈存在的一系列漏洞。这九个漏洞可能会影响上亿部设备。
NucleusNET、IPNet和NetX是受这批漏洞影响的三款操作系统,Forescout和JSOF发布的联合报告将这批漏洞统一命名为Name:Wreck。
Forescout在介绍这批漏洞的报告中写道,TCP/IP堆栈特别易受攻击,原因有几个,包括:使用广泛,许多堆栈是很久以前开发的,以及由于跨网络边界的未经身份验证的功能和协议,使它们成了诱人的攻击面。
域名系统(DNS)基本上存在同样的问题,很容易因Name:Wreck漏洞而被人钻空子。
报告称:"DNS是一种复杂的协议,往往衍生出易受攻击的方法;这些漏洞常常被外部攻击者所利用,以同时控制数百万个设备。"
据451Research的首席研究分析师EricHanselman声称,Name:Wreck让不法分子可以发动拒绝服务攻击和远程执行代码,很可能是DNS响应内容的代码解析中糟糕的编程实践造成的。实际上,系统中用于将DNS响应压缩成更小、更易于传输的程序包的一个关键值未经过系统的验证,也会被不法分子操纵。
Hanselman说:"DNS攻击的困难在于,DNS响应可能含有大量的信息。格式选项实在太多了,DNS响应中返回大量数据的情况并不罕见;如果不跟踪DNS查询,允许在自己的环境中使用OpenDNS,就很难跟踪响应,以确保有状态的后续行动。"
许多组织面临的实际危险,因其所使用的高危堆栈的不同而异。该报告声称,FreeBSD漏洞可能更为广泛,它影响包括Netflix和Yahoo在内的数百万个IT网络以及防火墙和路由器等传统网络设备,不过可能更容易修复。
Forrest研究公司的高级分析师BrianKime说:"那些是易于管理的系统,我们应该能够更新它们。应优先考虑对它们加以修复,因为它们是网络堆栈的一部分。"
在许多情况下,受Name:Wreck影响的实时操作系统就不一样了,因为标准问题仍未得到解决,因此为物联网设备确保安全就无从谈起。修补和更新固件的功能仍然不是一项标准功能,联网设备的OEM厂商甚至可能不再经营--这些联网设备已有些年头,当初并不是为面向互联网而设计的。
Hanselman声称,在那些物联网设备易受攻击的情况下,强有力的安全必须从网络层开始。良好的开头就是直接监控网络中的异常活动--以TCP/IP漏洞为例,这种异常活动有时很难检测到,真正需要的是DNS查询保护之类的技术。
他说:"幸好对于大多数组织来说,DNS监控已变得极其普遍,因为DNS是检测勒索软件的最佳方法之一。大多数组织都应该落实了合理的DNS查询保护措施。"
这些漏洞的活动范围受几个因素的限制,包括受影响的设备是否可以直接访问互联网--上述的许多医疗设备不太可能直接访问,以及修补起来有多容易。此外值得一提的是,到目前为止,没人认为这些设备在外头被人钻空子。然而,打印机可能是被盯上的一个重要目标。
据Kime声称,打印机触手可及,这是由于打印机比较普遍,安全方面往往没有受到重视。一旦打印机中招,它们会提供一条途径,攻击者可以趁机访问网络上其他易受攻击的设备。
他说:"人们很少会评估打印机方面的漏洞,因此它们被威胁分子所利用。一旦不法分子钻了别的空子进入到组织环境,就会持久地利用物联网漏洞。"
当然,Name:Wreck不是近期到处肆虐的唯一一批TCP/IP漏洞。之前Forescout和JSOF已发现了这类安全漏洞的好几个变种,包括在过去一年内发现的Ripple20、Amnesia:33和Number:Jack。专家们一致认为,在可预见的未来,更多的漏洞可能会公之于众。如今存在的IP堆栈为数不多,这意味着许多IP堆栈用于一大批的应用环境,它们通常被认为是安全的。
Hanselman说:"大家都以为自己可以从青睐的任何开源软件发行版获取IP堆栈,以为这些IP堆栈应该得到了妥善加固。在大多数情况下,确实如此,但是网络堆栈在处理相当复杂的状态管理,可能会有意想不到的方式来操纵它们。"