这9个漏洞正在影响上亿设备

安全供应商Forescout和JSOF研究公司最近披露了FreeBSD以及为物联网设计的三款流行实时操作系统使用的TCP/IP堆栈存在的一系列漏洞。这九个漏洞可能会影响上亿部设备。

NucleusNET、IPNet和NetX是受这批漏洞影响的三款操作系统，Forescout和JSOF发布的联合报告将这批漏洞统一命名为Name:Wreck。

Forescout在介绍这批漏洞的报告中写道，TCP/IP堆栈特别易受攻击，原因有几个，包括：使用广泛，许多堆栈是很久以前开发的，以及由于跨网络边界的未经身份验证的功能和协议，使它们成了诱人的攻击面。

域名系统(DNS)基本上存在同样的问题，很容易因Name:Wreck漏洞而被人钻空子。

报告称："DNS是一种复杂的协议，往往衍生出易受攻击的方法;这些漏洞常常被外部攻击者所利用，以同时控制数百万个设备。"

据451Research的首席研究分析师EricHanselman声称，Name:Wreck让不法分子可以发动拒绝服务攻击和远程执行代码，很可能是DNS响应内容的代码解析中糟糕的编程实践造成的。实际上，系统中用于将DNS响应压缩成更小、更易于传输的程序包的一个关键值未经过系统的验证，也会被不法分子操纵。

Hanselman说："DNS攻击的困难在于，DNS响应可能含有大量的信息。格式选项实在太多了，DNS响应中返回大量数据的情况并不罕见;如果不跟踪DNS查询，允许在自己的环境中使用OpenDNS，就很难跟踪响应，以确保有状态的后续行动。"

许多组织面临的实际危险，因其所使用的高危堆栈的不同而异。该报告声称，FreeBSD漏洞可能更为广泛，它影响包括Netflix和Yahoo在内的数百万个IT网络以及防火墙和路由器等传统网络设备，不过可能更容易修复。

Forrest研究公司的高级分析师BrianKime说："那些是易于管理的系统，我们应该能够更新它们。应优先考虑对它们加以修复，因为它们是网络堆栈的一部分。"

在许多情况下，受Name:Wreck影响的实时操作系统就不一样了，因为标准问题仍未得到解决，因此为物联网设备确保安全就无从谈起。修补和更新固件的功能仍然不是一项标准功能，联网设备的OEM厂商甚至可能不再经营--这些联网设备已有些年头，当初并不是为面向互联网而设计的。

Hanselman声称，在那些物联网设备易受攻击的情况下，强有力的安全必须从网络层开始。良好的开头就是直接监控网络中的异常活动--以TCP/IP漏洞为例，这种异常活动有时很难检测到，真正需要的是DNS查询保护之类的技术。

他说："幸好对于大多数组织来说，DNS监控已变得极其普遍，因为DNS是检测勒索软件的最佳方法之一。大多数组织都应该落实了合理的DNS查询保护措施。"

这些漏洞的活动范围受几个因素的限制，包括受影响的设备是否可以直接访问互联网--上述的许多医疗设备不太可能直接访问，以及修补起来有多容易。此外值得一提的是，到目前为止，没人认为这些设备在外头被人钻空子。然而，打印机可能是被盯上的一个重要目标。

据Kime声称，打印机触手可及，这是由于打印机比较普遍，安全方面往往没有受到重视。一旦打印机中招，它们会提供一条途径，攻击者可以趁机访问网络上其他易受攻击的设备。

他说："人们很少会评估打印机方面的漏洞，因此它们被威胁分子所利用。一旦不法分子钻了别的空子进入到组织环境，就会持久地利用物联网漏洞。"

当然，Name:Wreck不是近期到处肆虐的唯一一批TCP/IP漏洞。之前Forescout和JSOF已发现了这类安全漏洞的好几个变种，包括在过去一年内发现的Ripple20、Amnesia:33和Number:Jack。专家们一致认为，在可预见的未来，更多的漏洞可能会公之于众。如今存在的IP堆栈为数不多，这意味着许多IP堆栈用于一大批的应用环境，它们通常被认为是安全的。

Hanselman说："大家都以为自己可以从青睐的任何开源软件发行版获取IP堆栈，以为这些IP堆栈应该得到了妥善加固。在大多数情况下，确实如此，但是网络堆栈在处理相当复杂的状态管理，可能会有意想不到的方式来操纵它们。"