安全厂商一份报告显示单单18个月内,就有97个和TCP/IP堆栈或协议相关的漏洞被披露,而且影响几乎所有堆栈。
安全企业Forescout在Project Memoria下发布这项报告。该公司2020年6月和以色列顾问公司合作披露20项嵌入式TCP/IP函数库漏洞,统称为Ripple20,并展开18个月的长期计划。Forescout相信,Ripple 20发现的问题,可能也会出现在其他TCP/IP堆栈,而且其他堆栈还广泛分散在不同厂商及不同产品中。
而将近1年半后,Forescout陆续发现多组TCP/IP堆栈漏洞。包括去年底的33个AMNESIA:33、今年9个Number: Jack、9个NAME:WRECK、14个INFRA:HALT,以及上周公布的Nucleus: 13。加上RIPPLE:20,一共披露了97项TCP/IP漏洞。
在这些漏洞中,除了Number: Jack是发生在TCP/IP产生初始串行号(Initial Sequence Number,ISN)过程中的漏洞,其余各漏洞分散在不同TCP/IP堆栈中。共有14个TCP/IP堆栈被影响,包括CycloneTCP、FNET、FreeBSD、IPnet、MPLAB Net、NetX、NicheStack、NDKTCPIP、Nucleus NET、Nut/Net、picoTCP、Treck和uC/TCP-IP及uIP。lwIP是唯一经过分析还没发现任何问题的堆栈。
Project Memoria分析的TCP/IP堆栈,被应用于各种产业联网设备,涵盖医疗、政府、金融、制造、运输等,同一漏洞就可能波及不同产业。受这近百项漏洞影响的知名产品包括Microchip Wi-Fi模块、BD输液设备、飞利浦的医疗系统、空气净化器及联网吸尘器、西门子RFID读取器和气体滑轮机、Ricoh打印机、B&R Automation运动控制、以及施耐德电机及洛克威尔自动化(Rockwell Automation)的工控设备等。总计这些漏洞影响442家厂商出产的约25万台设备。但442家厂商中,只有81家发出安全公告,因此可能有许多设备客户并不知漏洞的存在,也没有修补,进而曝险。
25万台有漏洞的设备分布上,各有6.4万及5.4万台安装在政府及医疗业客户环境,其他产业如制造、零售及金融也都有超过2万台。若以用户平均安装的风险设备来看,以医疗业最多,一主机构平均有492台。
研究人员本周建议企业,如果得知有TCP/IP堆栈或协议漏洞,除了尽快安装修补程序外,应盘点网络环境中所有问题软件的设备、执行网络分区(segmentation)控制、以及监控所有网络可疑封包。