“失忆症:33” TCP / IP堆栈漏洞使数百万台设备遭受攻击

2020-12-10 05:27:40

企业物联网安全公司Forescout本周透露,来自150多个供应商的数百万台连接设备受到开源TCP / IP堆栈中发现的数十个漏洞的影响。

通过在包括IoT和OT设备在内的各种设备中启用基本网络连接,TCP / IP堆栈是处理所有传入帧和数据包的关键组件。

这些堆栈中的漏洞往往会产生广泛的影响。今年早些时候披露的Ripple20漏洞和2019年发布的URGENT / 11错误被发现使数百万设备容易受到远程攻击。

在四个开放源代码TCP / IP堆栈(uIP,PicoTCP,FNET和Nut / Net)中总共发现了33个新漏洞。这些错误统称为AMNESIA:33,其根源是内存损坏,这些错误使设备暴露于远程代码执行,信息泄露,拒绝服务和DNS缓存中毒。

能够利用这些漏洞的攻击者可以完全控制受影响的设备,然后滥用它们在环境中横向移动或维持对目标网络的持久访问。

由于受影响的开源TCP / IP堆栈用于来自多个供应商的各种设备中,因此许多组织受到影响,其中政府,医疗保健,服务,制造,金融,零售和技术部门的组织受到的影响最大。

“这些漏洞的普遍性质意味着全球许多组织可能会受到失忆症的影响:33。无法减轻这种风险的组织正在为整个组织中的IT,OT和IoT设备的攻击者敞开大门。” Forescout指出。

Forescout的安全研究人员指出,此分析考虑了总共七个开源TCP / IP堆栈,仅在其中四个中发现了漏洞,但这并不意味着其余漏洞都不受未知漏洞的影响。

AMNESIA:33漏洞影响堆栈的七个组件,即DNS,IPv6,IPv4,TCP,ICMP,LLMNR和mDNS。大多数缺陷都被指定为高严重等级。其中两个错误仅影响6LoWPAN无线设备。

在33个新发现的漏洞中,有四个被评估为严重严重性,从而导致远程执行代码。其中三个功能的CVSS得分为9.8(CVE-2020-24336,CVE-2020-24338和CVE-2020-25111)。

大多数安全漏洞是输入验证不足或缺乏检查的结果,这可能导致攻击者破坏内存或造成无限循环。因此,大多数这些漏洞导致拒绝服务。

被发现受影响最大的组件是DNS,TCP和IPv4 / IPv6子堆栈,其中DHCP,ICMP / ICMPv6,ARP等也受到了影响。

“ DNS似乎是一个易受攻击的组件,因为它是一个复杂且功能丰富的协议,与堆栈中的许多其他组件不同。实际上,DNS组件是通常与一些标准服务器进行通信的客户端,而不是与许多其他客户端进行通信的服务器。这可能会导致实现错误。” Forescout指出。

越界读取是AMNESIA:33包中最常见的漏洞类型,其次是整数溢出和越界写入。还发现了状态混乱,NULL指针取消引用和除以零的错误。

安全研究人员还指出,由于这些设备缺乏漏洞利用缓解措施和内存保护功能,因此嵌入式系统中漏洞的利用通常很容易。但是,每个设备的可利用性是不同的,受堆栈配置,网络硬件和驱动程序以及目标平台的影响。

“请记住,使用特定IP堆栈的设备将不会被自动利用,这一点至关重要。研究人员强调说,即使可以利用设备上的漏洞,漏洞的影响也会有很大差异。这些漏洞的真正影响是上下文相关的。

但是,由于可以在各种系统上找到运行易受攻击的堆栈的组件,包括MCU,SoC,连接模块,OEM板,消费物联网,网络和办公设备,访问控制设备,IP摄像机等,因此,AMNESIA的影响:33缺陷是广泛的,尤其是因为受影响的堆栈是开源的,而不是由单个公司拥有。

“由于这些堆栈构成了用于创建大量设备的其他软件,操作系统,SoC,嵌入式模块和开发板的基础,因此这些漏洞可能会轻易且无声地在多个代码库,开发团队,公司和产品中传播,这是一个风险。 “ Forescout指出。

安全研究人员估计,至少有150个供应商受到了影响,并认为目前至少有数百万台易受攻击的设备在狂奔。他们还指出,政府和医疗保健组织受到的影响最大,服务,制造和金融行业排名前五位。

根据Forescout的报告,网络安全和基础架构安全局(CISA)发布了一份咨询报告,以提高对这些漏洞的存在的认识,并确定缓解措施,以降低与这些漏洞相关的风险。