“失忆症：33” TCP / IP堆栈漏洞使数百万台设备遭受攻击

企业物联网安全公司Forescout本周透露，来自150多个供应商的数百万台连接设备受到开源TCP / IP堆栈中发现的数十个漏洞的影响。

通过在包括IoT和OT设备在内的各种设备中启用基本网络连接，TCP / IP堆栈是处理所有传入帧和数据包的关键组件。

这些堆栈中的漏洞往往会产生广泛的影响。今年早些时候披露的Ripple20漏洞和2019年发布的URGENT / 11错误被发现使数百万设备容易受到远程攻击。

在四个开放源代码TCP / IP堆栈（uIP，PicoTCP，FNET和Nut / Net）中总共发现了33个新漏洞。这些错误统称为AMNESIA：33，其根源是内存损坏，这些错误使设备暴露于远程代码执行，信息泄露，拒绝服务和DNS缓存中毒。

能够利用这些漏洞的攻击者可以完全控制受影响的设备，然后滥用它们在环境中横向移动或维持对目标网络的持久访问。

由于受影响的开源TCP / IP堆栈用于来自多个供应商的各种设备中，因此许多组织受到影响，其中政府，医疗保健，服务，制造，金融，零售和技术部门的组织受到的影响最大。

“这些漏洞的普遍性质意味着全球许多组织可能会受到失忆症的影响：33。无法减轻这种风险的组织正在为整个组织中的IT，OT和IoT设备的攻击者敞开大门。” Forescout指出。

Forescout的安全研究人员指出，此分析考虑了总共七个开源TCP / IP堆栈，仅在其中四个中发现了漏洞，但这并不意味着其余漏洞都不受未知漏洞的影响。

AMNESIA：33漏洞影响堆栈的七个组件，即DNS，IPv6，IPv4，TCP，ICMP，LLMNR和mDNS。大多数缺陷都被指定为高严重等级。其中两个错误仅影响6LoWPAN无线设备。

在33个新发现的漏洞中，有四个被评估为严重严重性，从而导致远程执行代码。其中三个功能的CVSS得分为9.8（CVE-2020-24336，CVE-2020-24338和CVE-2020-25111）。

大多数安全漏洞是输入验证不足或缺乏检查的结果，这可能导致攻击者破坏内存或造成无限循环。因此，大多数这些漏洞导致拒绝服务。

被发现受影响最大的组件是DNS，TCP和IPv4 / IPv6子堆栈，其中DHCP，ICMP / ICMPv6，ARP等也受到了影响。

“ DNS似乎是一个易受攻击的组件，因为它是一个复杂且功能丰富的协议，与堆栈中的许多其他组件不同。实际上，DNS组件是通常与一些标准服务器进行通信的客户端，而不是与许多其他客户端进行通信的服务器。这可能会导致实现错误。” Forescout指出。

越界读取是AMNESIA：33包中最常见的漏洞类型，其次是整数溢出和越界写入。还发现了状态混乱，NULL指针取消引用和除以零的错误。

安全研究人员还指出，由于这些设备缺乏漏洞利用缓解措施和内存保护功能，因此嵌入式系统中漏洞的利用通常很容易。但是，每个设备的可利用性是不同的，受堆栈配置，网络硬件和驱动程序以及目标平台的影响。

“请记住，使用特定IP堆栈的设备将不会被自动利用，这一点至关重要。研究人员强调说，即使可以利用设备上的漏洞，漏洞的影响也会有很大差异。这些漏洞的真正影响是上下文相关的。

但是，由于可以在各种系统上找到运行易受攻击的堆栈的组件，包括MCU，SoC，连接模块，OEM板，消费物联网，网络和办公设备，访问控制设备，IP摄像机等，因此，AMNESIA的影响：33缺陷是广泛的，尤其是因为受影响的堆栈是开源的，而不是由单个公司拥有。

“由于这些堆栈构成了用于创建大量设备的其他软件，操作系统，SoC，嵌入式模块和开发板的基础，因此这些漏洞可能会轻易且无声地在多个代码库，开发团队，公司和产品中传播，这是一个风险。 “ Forescout指出。

安全研究人员估计，至少有150个供应商受到了影响，并认为目前至少有数百万台易受攻击的设备在狂奔。他们还指出，政府和医疗保健组织受到的影响最大，服务，制造和金融行业排名前五位。

根据Forescout的报告，网络安全和基础架构安全局（CISA）发布了一份咨询报告，以提高对这些漏洞的存在的认识，并确定缓解措施，以降低与这些漏洞相关的风险。