研究人員發(fā)現(xiàn)33個漏洞影響了數(shù)以百萬計的IoT設(shè)備

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了數(shù)以千計的和物聯(lián)網(wǎng)設(shè)備中使用的基礎(chǔ)開放源代碼軟件中包含的許多漏洞。

網(wǎng)絡(luò)安全公司Forescout披露的33個漏洞影響了四個開源TCP / IP堆棧，這些堆棧在150多個供應(yīng)商創(chuàng)建的設(shè)備中使用?？傊@33個漏洞包括四個嚴重的安全漏洞，被稱為“ AMNESIA：33”。

根據(jù)Forescout的說法，這些漏洞會導(dǎo)致內(nèi)存損壞，這可能使攻擊者能夠破壞設(shè)備，執(zhí)行惡意代碼，竊取敏感信息以及執(zhí)行拒絕服務(wù)攻擊。

受影響的大多數(shù)設(shè)備都是面向消費者的產(chǎn)品，例如遠程溫度傳感器和攝像機。但是，它們的范圍從簡單的智能插頭和辦公路由器到工業(yè)控制系統(tǒng)組件和醫(yī)療保健設(shè)備。

這些漏洞的嚴重性及其廣泛的性質(zhì)，導(dǎo)致網(wǎng)絡(luò)安全和基礎(chǔ)結(jié)構(gòu)安全局發(fā)布了公告，向威脅的用戶和制造商提供建議。它建議采取防御措施，例如從互聯(lián)網(wǎng)上刪除關(guān)鍵基礎(chǔ)設(shè)施。

盡管有被利用的潛力，CISA指出，似乎沒有任何針對這些野外漏洞的活躍的公共利用。

但是，F(xiàn)orescout表示，漏洞的令人擔憂的方面之一是它們存在于開源軟件中。這可能意味著解決這些問題要困難得多，因為開放源代碼軟件通常是由志愿者維護的，而某些易受攻擊的代碼已經(jīng)使用了二十年

由設(shè)備制造商確定并修補漏洞。但是，由于某些泄露的代碼存在于第三方組件中，因此必須已記錄了組件的使用，以便設(shè)備制造商知道該組件的存在。

Forescout不僅警告了，德國和的網(wǎng)絡(luò)安全，還警告了許多設(shè)備供應(yīng)商。

受影響設(shè)備的完整列表尚未發(fā)布。據(jù)說該列表包括西門子，Genetec，Devolo，NT-Ware，Microchip和Nanotec。

建議使用設(shè)備的用戶訪問制造商的網(wǎng)站，以獲取最新的補丁程序和安全信息。除此之外，制造商主要應(yīng)減輕和解決該問題。

蘋果的HomeKit協(xié)議本身不受安全漏洞的影響。但是，許多設(shè)備使用不止一種網(wǎng)絡(luò)協(xié)議或具有多種家庭自動化系統(tǒng)兼容性，因此，如果其中一種表現(xiàn)出來的話，可能容易受到攻擊。