[[415710]]

2021年8月4日，JFrog和Forescout的研究人員發(fā)布了一份聯(lián)合報(bào)告，公開(kāi)披露了在NicheStack TCP/IP堆棧中發(fā)現(xiàn)的14個(gè)安全漏洞。

Forescout和JFrog Security研究人員在NicheStack中發(fā)現(xiàn)的14個(gè)漏洞被統(tǒng)稱(chēng)為“INFRA:HALT”，允許遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)、信息泄漏、TCP 欺騙和DNS緩存中毒。

Forescout指出，其他主要的OT設(shè)備供應(yīng)商，如Emerson、霍尼韋爾(Honeywell)、三菱電機(jī)、羅克韋爾自動(dòng)化和施耐德電氣，都是堆棧的原始開(kāi)發(fā)商InterNiche的客戶(hù)。由于這種漏洞存在于OT環(huán)境，所以受影響最大的垂直行業(yè)是制造業(yè)。

INFRA：NicheStack中的HALT漏洞

在過(guò)去的兩年里，來(lái)自多家公司的研究人員親自探索物聯(lián)網(wǎng)、OT和嵌入式設(shè)備/系統(tǒng)中使用的各種TCP/IP堆棧的安全性，并記錄了他們的發(fā)現(xiàn)。

NicheStack TCP/IP堆棧由InterNiche Technologies于1996年開(kāi)發(fā)。自問(wèn)世以來(lái)，它已被各種原始設(shè)備制造商(OEM)以多種“風(fēng)格”分發(fā)，并作為其他TCP/IP堆棧的基礎(chǔ)。其被廣泛部署于各種操作技術(shù)(OT)設(shè)備中，例如非常流行的Siemens S7 PLC。

關(guān)于此次被發(fā)現(xiàn)的漏洞，研究人員解釋稱(chēng)，

“如果這些漏洞被利用，不法分子就可以控制用于控制照明、電力、安全和消防系統(tǒng)的樓宇自動(dòng)化設(shè)備，以及用于運(yùn)行裝配線(xiàn)、機(jī)器和機(jī)器人設(shè)備的可編程邏輯控制器(PLC)。這可能會(huì)嚴(yán)重破壞工業(yè)運(yùn)營(yíng)，并進(jìn)一步為攻擊者提供對(duì)物聯(lián)網(wǎng)設(shè)備的訪問(wèn)權(quán)限。一旦訪問(wèn)實(shí)現(xiàn)，堆棧就會(huì)成為在IT網(wǎng)絡(luò)中傳播感染性惡意軟件的脆弱入口點(diǎn)。”

補(bǔ)救和緩解建議

目前，HCC Embedded公司已經(jīng)為受影響的NicheStack 版本(即NicheStack v4.3之前的所有版本)發(fā)布了相關(guān)補(bǔ)丁。建議相關(guān)供應(yīng)商(涉及嵌入式網(wǎng)絡(luò))及時(shí)升級(jí)更新，并向客戶(hù)提供自己的更新。

目前尚不清楚有多少設(shè)備在使用易受攻擊的堆棧版本，但根據(jù)相關(guān)數(shù)據(jù)顯示，該堆棧已被近 200 家設(shè)備供應(yīng)商使用，其中包括世界上大多數(shù)頂級(jí)工業(yè)自動(dòng)化公司。

此外，F(xiàn)orescout也提供了一個(gè)開(kāi)源腳本，企業(yè)管理員可以使用它來(lái)檢測(cè)運(yùn)行 NicheStack(和其他易受攻擊的 TCP/IP 堆棧)的設(shè)備。

除了實(shí)施補(bǔ)丁外，安全專(zhuān)家還敦促管理員使用網(wǎng)絡(luò)分段來(lái)降低易受攻擊設(shè)備的風(fēng)險(xiǎn)，并監(jiān)控所有網(wǎng)絡(luò)流量中是否存在試圖利用已知漏洞或零日漏洞的惡意數(shù)據(jù)包。

參考：helpnetsecurity