lswcap
物联网和工业设备安全解决方案提供商 Forescout 报告称存在一个名为 NAME: WRECK 的漏洞,该漏洞将影响数百万个物联网和工业设备。
它是由 Forescout 内部研究程序 Project Memoria 发现的,与 TCP/IP 堆栈有关。 TCP/IP 堆栈是创建通过 LAN 进行通信的应用程序所需的 TCP/IP 通信协议程序的摘要,并且是供应商已添加到其固件以支持设备 Internet 连接和其他网络功能的库。
这个库很小,在大多数情况下支持设备最基本的功能。但是,通过使用 NAME : WRECK,恶意攻击者有可能通过 TCP/IP 堆栈远程攻击用户。名称:WRECK 是过去三年中发布的第五组影响 TCP/IP 堆栈的漏洞。除了 NAME: WRECK 之外,在与 TCP/IP 通信的各种机制相关的调查中也发现了漏洞,但 NAME: WRECK 不是在 TCP/IP 通信中发现的,而是在处理用于它们的库 DNS 流量的方法中发现的。
更准确地说,该团队研究了如何跨 TCP/IP 堆栈实现 DNS 协议消息压缩。 DNS 服务器响应通常包含多个域名,并且有些是重复的。因此,通过使用消息压缩功能,DNS 服务器可以防止相同域名的重复,减少响应大小。
Project Memoria 对消息压缩功能的研究发现 9 个漏洞影响了 15 个 TCP/IP 堆栈中的 7 个。
同时,已经发现一些 TCP/IP 协议栈(FNET、CycloneTCP、uC/TCP-IP、FreeRTOS+TCP、Zephyr、OpenThread)可以安全地实现消息压缩功能。另外,由于两个栈(Nut/Net、lwIP)不支持消息压缩,所以不受漏洞影响。
Forescout 向开发人员报告了 4 个受影响的 TCP/IP 堆栈名称:WRECK 的问题,但只有 3 个已发布补丁(FreeBSD、Nucleus NET、NetX)。
几个 TCP/IP 协议栈都在发布补丁,看起来让人放心,但实际上,情况远非完美。原因是供应商需要很长时间才能发布自己的固件更新,其中包含补丁以将补丁应用于物联网和工业设备。此外,制造商发布支持补丁的固件更新,客户不一定执行更新。由于使用 TCP/IP 堆栈的 IoT 和工业设备部署在许多偏远地区,如果它们不响应 FOTA,则很难更新。
最初,一些设备所有者甚至不知道他们的服务器、智能设备和工业设备正在使用 TCP/IP 堆栈。因此,不幸的是,许多设备可能仍然容易受到使用 NAME:WRECK 的攻击。
名称:WRECK 据说有一些模式需要能够操纵受害者 DNS 流量,但也有一些漏洞需要向易受攻击的系统发送不正确的 DNS 响应以允许有针对性的远程攻击。另外,据说本次调查发现的TCP/IP协议栈漏洞,大多来自厂商对DNS标准的误解。因此,他指出,我们可能需要问问自己,DNS 标准本身是否过于复杂。相关信息可以在这里找到。
Add comment