在过去几年中,研究人员在看似基本的代码中发现了一个令人震惊的漏洞,这些代码是设备如何与互联网通信的基本代码。现在,一套新的九种这种漏洞正在暴露全球估计的1亿设备,包括一系列内容的东西产品和IT管理服务器。然而,较大的问题研究人员正在争夺回答,是如何刺激实质性变化 - 并实施有效的防御 - 随着越来越多的这些类型的漏洞堆积。
被称为名称:沉船在美国,这些新披露的缺陷存在于四种无处不在的TCP/IP协议栈中,这些代码集成了网络通信协议,在设备和互联网之间建立连接。这些漏洞存在于操作系统中,比如开源项目FreeBSD,以及工业控制公司西门子的Nucleus NET,它们都与这些堆栈如何实现“域名系统”互联网电话簿有关。它们都能让攻击者要么使设备崩溃并使其离线,要么远程控制设备。这两种攻击都可能在网络中造成严重破坏,特别是在关键的基础设施、医疗保健或制造环境中,在这些环境中,渗透连接的设备或IT服务器可能破坏整个系统,或作为深入受害者网络的有价值的起点。
所有这些漏洞都是由安全公司Forescout和JSOF的研究人员发现的,现在都有可用的补丁,但这并不一定会在实际设备中得到修复,这些设备通常运行的是较旧的软件版本。有时制造商没有创建更新代码的机制,但在其他情况下,他们不生产运行代码的组件,而且根本没有控制机制。“这些发现,我知道它看起来像我们只是把问题表,但是我们真的试图提高认识,与社区合作,并找出解决这个问题的方法,”Elisa Costante说Forescout研究部的副总裁,已经做了其他类似的研究通过它调用项目记忆。“我们分析了超过15个TCP/IP协议栈,其中既有专有的,也有开源的,我们发现它们在质量上没有真正的区别。但这些共性也很有用,因为我们发现它们有相似的弱点。当我们分析一个新堆栈时,我们可以去看看这些相同的地方,并与其他研究人员和开发人员分享这些共同的问题。”
研究人员还没有看到证据表明攻击者正在积极利用这些类型的野生脆弱性。但是,百万美元可能影响众多不同的结果,曝光是显着的。
Siemens USA chief cybersecurity officer Kurt John told Wired in a statement that the company “works closely with governments and industry partners to mitigate vulnerabilities … In this case we’re happy to have collaborated with one such partner, Forescout, to quickly identify and mitigate the vulnerability."
研究人员协调信息披露开发商释放的缺陷补丁,国土安全部的网络安全和基础设施安全机构以及其他漏洞跟踪组。类似的缺陷由Forescout和JSOF在其他专有和开放源代码中发现TCP / IP栈已被发现暴露数亿甚至可能是全球数十亿个设备。
在这些无处不在的网络协议中,问题出现在这些普遍存在的网络协议中,因为它们在很大程度上已经通过了几十年来通过了,因为它们周围的技术发展了。基本上,由于它没有破坏,没有人修复它。
物联网安全公司红气球安全(Red Balloon security)的首席执行官Ang Cui表示:“不管怎样,这些设备里面有20年前人们写的代码,带着20年前的安全心态。””和它的工作原理;它永远不会失败。但一旦你把它连接到互联网上,就不安全了。这并不奇怪,因为我们不得不重新思考过去20年里我们如何为通用计算机做安全工作。”
问题是臭名昭著的在这一点上,安全行业没有能够撤销的那一点,因为vulnerability-ridden僵尸代码似乎似乎始终重新出现。
开放加密货币审计项目(Open Crypto Audit Project)联席主任肯·怀特(Kenn White)表示:“有很多例子都是无意中重现了90年代的低级网络漏洞。”“这在很大程度上是因为缺乏经济激励来真正关注这一代码的质量。”
研究人员发现的研究人员有一些关于新板岩的好消息。虽然补丁可能不会随时完全增长,但它们可用。其他STAPGAP缓解可以减少曝光,即尽可能多地保持尽可能多的设备,并使用内部DNS服务器将数据连接到路由数据。Forescout的Costante还指出,开发活动将是相当可预测的,使得更容易检测利用这些缺陷的尝试。
谈到长期解决方案时,鉴于所有供应链和产品的供应商,制造商和开发人员都没有快速修复。但ForeScout发布了一个开源脚本网络管理人员可用于识别其环境中可能存在漏洞的物联网设备和服务器。该公司还维护着一个开源数据库查询库,研究人员和开发人员可以使用它更容易地找到与dns相关的类似漏洞。
“这是一个普遍的问题;这不仅仅是一种特定设备的问题,”科斯坦特说。“这不仅仅是便宜的物联网设备。越来越多的证据表明这是多么普遍。这就是为什么我们一直努力提高人们的意识。”
这个故事最初出现在Wired.com.。
89读者评论
什么……观众……这是针对的吗?
什么……观众……这是针对的吗?
我完全来发布 - 我停止阅读那里。ARS可以写一篇更好的文章。
什么……观众……这是针对的吗?
我完全来发布 - 我停止阅读那里。ARS可以写一篇更好的文章。
它来自有线。\ \ _(ツ)_ /
在星期三有线?我错过了什么?
在星期三有线?我错过了什么?
它很可能是因为它是“突发新闻”,有线已经写过这篇文章,所以ars选择使用有线来尽可能快地获得新闻,而不是写自己的新闻。
或者,Ars正在写自己的文章,会更详细,但要写好并发布还需要几个小时,所以他们选择同时发布《连线》杂志的文章。
什么……观众……这是针对的吗?
我完全来发布 - 我停止阅读那里。ARS可以写一篇更好的文章。
它来自有线。\ \ _(ツ)_ /
在星期三有线?我错过了什么?
不,我不这么认为,但这就是为什么这篇文章的基调不同。也许人们还没喝咖啡,错过了《连线》的广告语。我一开始确实是这么想的。
在文章的主题上,看到“基本”网络协议中弹出的问题结合了对IOT设备的承认缺乏支持,让我真的希望这些天这样的技术。我不需要支持WiFi的洗衣机或冰箱....
如果我们有一个部门/组织,可以对物联网设备处以严重罚款,下令产品下架或召回,那就太好了。如果他们面临后果,他们可以告诉供应商“我需要这些组件是安全的/可更新的……”
最后一次编辑50 me122021年4月14日星期三上午9:31
什么……观众……这是针对的吗?
奇怪的是,甚至官方报告(相当技术性)也这么说。
“域名是标识资产的字符串
互联网。域名系统(DNS),非正式的
被称为“互联网电话簿”,
不确定阅读报告的谁不熟悉DNS,考虑到报告进入对一些易受攻击的代码的详细分析。
根据联邦法律规定,他们必须在X年内得到支持和修补?(如果他们破产了怎么办?)要求isp以某种方式识别这些设备,通知客户断开它们,并断开任何不遵守的客户?当然,这是一件相当不愉快的事情。这还只是美国的情况……
什么……观众……这是针对的吗?
这本电话簿是什么?
在星期三有线?我错过了什么?
它很可能是因为它是“突发新闻”,有线已经写过这篇文章,所以ars选择使用有线来尽可能快地获得新闻,而不是写自己的新闻。
或者,Ars正在写自己的文章,会更详细,但要写好并发布还需要几个小时,所以他们选择同时发布《连线》杂志的文章。
也许,但是你的立场是不合适的Ars的。我无法计算出在科学和技术中有“破坏新闻”的次数,即ARS没有一篇文章,但随后在几天的“爆发新闻”上带来了一份彻底的调查的故事之后。
最后一次编辑BatCrapCrazy4月14日星期三,2021 9:28 AM
什么……观众……这是针对的吗?
这本电话簿是什么?
让我告诉你一个逝去时代的,当手机被拴在固定电话跑到建筑,除非你是fancypants华尔街经纪人之类的,我们不得不步行15英里艰难的在黄油生产工厂,我们的工作,我们在烛光下看电视。
最后一次编辑副卡特曼4月14日星期三,2021 9:28 AM
由于现代安全实践,感应范围永远无法连接到互联网。在WiFi网络不安全的那一天,它可能能够在没有我的帮助下连接,但没有更多。
在地狱中没有办法,我是故意连接它。
什么……观众……这是针对的吗?
这本电话簿是什么?
让我告诉你一个逝去时代的,当手机被拴在固定电话跑到建筑,除非你是fancypants华尔街经纪人之类的,我们不得不步行15英里艰难的在黄油生产工厂,我们的工作,我们在烛光下看电视。
我记得每天在我们的脸上指向强大的电子枪时,那些哈西顿日。
什么……观众……这是针对的吗?
这本电话簿是什么?
让我告诉你一个逝去时代的,当手机被拴在固定电话跑到建筑,除非你是fancypants华尔街经纪人之类的,我们不得不步行15英里艰难的在黄油生产工厂,我们的工作,我们在烛光下看电视。
你有蜡烛吗?你有工作吗?你有过山吗?天啊,当时我要是能爬上一座自己的山就好了....
什么……观众……这是针对的吗?
这本电话簿是什么?
让我告诉你一个逝去时代的,当手机被拴在固定电话跑到建筑,除非你是fancypants华尔街经纪人之类的,我们不得不步行15英里艰难的在黄油生产工厂,我们的工作,我们在烛光下看电视。
你有蜡烛吗?你有工作吗?你有过山吗?天啊,当时我要是能爬上一座自己的山就好了....
爬? ! ? ! ? ! ?
哈!
我们会给任何东西能力爬上!
我们通过做蠕虫舞,从一个地方到达!
你知道他们说了什么;IOT中的's'代表安全。
什么……观众……这是针对的吗?
奇怪的是,甚至官方报告(相当技术性)也这么说。
“域名是标识资产的字符串
互联网。域名系统(DNS),非正式的
被称为“互联网电话簿”,
不确定阅读报告的谁不熟悉DNS,考虑到报告进入对一些易受攻击的代码的详细分析。
国际海事组织,这是一份优秀的报告。它简明扼要,有足够的技术细节,让我能够理解攻击的要点,以及支持研究的链接,并且仍然保持在足够高的水平,我可以与高管们分享它,让他们理解它。
什么……观众……这是针对的吗?
奇怪的是,甚至官方报告(相当技术性)也这么说。
“域名是标识资产的字符串
互联网。域名系统(DNS),非正式的
被称为“互联网电话簿”,
不确定阅读报告的谁不熟悉DNS,考虑到报告进入对一些易受攻击的代码的详细分析。
国际海事组织,这是一份优秀的报告。它简明扼要,有足够的技术细节,让我能够理解攻击的要点,以及支持研究的链接,并且仍然保持在足够高的水平,我可以与高管们分享它,让他们理解它。
是的,写得很好,甚至代码分析对于没有写低级网络/内核代码的人来说也是非常可理解的
什么……观众……这是针对的吗?
鉴于IOT系统多么粗暴和不安全,我会说每个人都参与发展它们。
凭借10000万声称的受影响的设备,这是击中大型消费者的IOT产品,我假设?
这里的缓解建议使用内部DNS:内部是否意味着局域网网络的内部?
我相信有些路由器(比如Synology RT2600ac)确实有一个内部的DNS服务器——如果你运行DoH (DNS over HTTPS),这是必需的。因此,客户端设备(包括许多物联网设备,如SmartThings和谷歌Home)接收来自Synology路由器的DNS响应。
因此,如果Synology的内部DNS服务器被修补/不受影响,则应减轻此特定漏洞,对吧?
最后一次编辑Squuiid在4月14日星期三,2021年10:23
它应该重命名为ios。但是在这个版本中,S并不代表安全性。
…我绝不可能故意把它连接起来。
浏览器的设计也是为了把控制权交到消费者手中。这就是为什么现在出现了“应用程序”:把权力交还给企业。你想控制布局吗?你想屏蔽广告?是的,没有。
很明显,手机调制解调器将取代wifi芯片:必须防止消费者搞乱他们表面上“拥有”的产品。不连接将不再是一个选项。那你的计划是什么?
更重要的是,作为一个国家,我们应该在什么时候做些什么呢?
我们正在建立一个拥有最大的“聪明”闪亮的东西的国家的世界将是一个永久的战略劣势。这些类型的低级漏洞将由国家赞助的演员而非滑雪和诈骗者定位。
一个企图黑进邻居保姆摄像头的偷窥狂比一个有能力把西门子plc的整个电厂网络变成砖块的恶意行动者更让我担心。
最后一次编辑sixstringedthing2021年4月14日星期三上午10:33
我有家用自动化设备。在60个设备中,只有2个有IP地址,可以访问(我的homeser自动化控制器和robovac)。你完全有可能把你没有放到互联网上的东西。
但它们不闪亮,也不是l337,也没有嗡嗡声。z波只是发挥了它的作用。我的一些东西是7年的,只是每年换一个新电池。
我向(概念)发誓,我将开始把我的homeser称为“边缘计算”,只是为了让它具有某种keeness。
安全人员称他们为iOS - 狗屎互联网。
根据联邦法律规定,他们必须在X年内得到支持和修补?(如果他们破产了怎么办?)要求isp以某种方式识别这些设备,通知客户断开它们,并断开任何不遵守的客户?当然,这是一件相当不愉快的事情。这还只是美国的情况……
同意不必要的恶语。
我不知道它将有助于使物联网设备通过某种认证的连接都是最基本的功能有限,也确保必要的网络协议实现的子集(比如禁用巨型帧之类的),有限的港口等。不确定是否有可能创建某种压力测试分析工具来测试所有的基本缺陷和编码错误?即使是这样,会有什么不同吗?
可能是不可能授权一定数量的更新。首先,如果公司停止存在并第二篇,则会发生什么,因为这篇文章明确的是,即使是15年的支持,如果虫子已经足够了,那么即使是15年的支持。
好吧,PS4运行FreeBSD,所以你现在也可以黑你的赛博朋克2077。
你的意思是这个链接:
https://www.forescout.com/company/resou ... entations /
吗?
它给了我一个有效的证书,日期如下:
在2020年10月27日星期二发布00:00:00
2021年10月27日星期三00:59:59到期
你确定你的浏览器没有被入侵吗?
我想知道他们是否没有工具限制,他们可以从这个实现中找到:
https://ironsides.martincarlisle.com/或GitHub镜子:
https://github.com/mcejp/ironsides.
DNS作者具有大胆的主张。
编辑:从他们的纸上
1)没有典型的缓冲区溢出。
没有错误的缓冲区大小计算。
3)无不当初始化。
4)无无效声明。
5)无整数溢出/环绕。
6)无信息泄露。
7)所有输入都经过验证。
8)没有分配w / o限制(没有资源耗尽)。
9)没有不当的数组索引。
没有空指针解引用。
没有过期的指针解引用(在free之后使用)。
12)没有类型混淆。
13)没有竞态条件。
14)没有错误的转换。
15)没有不受控制的格式字符串。
16)所有循环保证终止
最后一次编辑CluelessOne2021年4月14日星期三上午11:09
你必须登录或创建一个帐户置评。