日前，F(xiàn)orescout研究人員發(fā)現(xiàn)了14個(gè)影響專有NicheStack(又名 InterNiche)TCP/IP堆棧的新漏洞，這些堆棧用于OT設(shè)備，例如非常流行的Siemens S7 PLC。

研究人員同時(shí)指出：“主要的OT設(shè)備供應(yīng)商，如艾默生、霍尼韋爾、三菱電機(jī)、羅克韋爾自動(dòng)化和施耐德電氣，均為堆棧原始開發(fā)商InterNiche的客戶。該堆棧在OT中非常歡迎，受影響最大的垂直行業(yè)是制造業(yè)。”

[[415925]]

NicheStack中的INFRA:HALT漏洞

NicheStack TCP/IP堆棧由InterNiche Technologies于1996年開發(fā)。自問世以來，它已被各種OEM以多種形式分發(fā)，并作為其他TCP/IP堆棧的基礎(chǔ)。

Forescout和JFrog Security研究人員在NicheStack中發(fā)現(xiàn)的14個(gè)漏洞被統(tǒng)稱為INFRA:HALT，允許遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)、信息泄漏、TCP欺騙和DNS緩存中毒。

“如果這些漏洞被利用，不法分子就可以控制用于控制照明、電力、安全和消防系統(tǒng)的樓宇自動(dòng)化設(shè)備，以及用于運(yùn)行裝配線、機(jī)器或機(jī)器人設(shè)備的可編程邏輯控制器 (PLC)。這可能會(huì)讓攻擊者實(shí)現(xiàn)對(duì)網(wǎng)聯(lián)網(wǎng)設(shè)備的訪問，一旦被訪問，堆棧就會(huì)成為在IT網(wǎng)絡(luò)中傳播感染性惡意軟件的易受攻擊的入口點(diǎn)，進(jìn)而有可能嚴(yán)重破壞工業(yè)運(yùn)營(yíng)。”研究人員解釋說。

補(bǔ)救和緩解

花了將近一年時(shí)間，該公司為受影響的NicheStack版本(即4.3之前的所有版本)發(fā)布了補(bǔ)丁。研究人員指出，補(bǔ)丁可應(yīng)要求提供，使用堆棧的設(shè)備供應(yīng)商應(yīng)向客戶提供自己的更新。

Forescout提供了一個(gè)開源腳本，企業(yè)管理員可以使用它來檢測(cè)運(yùn)行NicheStack(和其他易受攻擊的TCP/IP堆棧)的設(shè)備。

除了實(shí)施補(bǔ)丁外，還敦促管理員使用網(wǎng)絡(luò)分段來降低易受攻擊設(shè)備的風(fēng)險(xiǎn)，并監(jiān)控所有網(wǎng)絡(luò)流量中是否存在試圖利用已知漏洞或零日漏洞的惡意數(shù)據(jù)包。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文