4月16日消息 通過和JSOF Research合作，網(wǎng)絡(luò)安全公司Forescout Research Labs剛剛在四個常用的TCP / IP（FreeBSD，Nucleus NET，IPnet 和 NetX）堆棧中找到了九個漏洞（統(tǒng)稱為NAME：WRECK）。
?
其預(yù)估有超過1億臺設(shè)備受到這些安全漏洞的影響，且物聯(lián)網(wǎng)（IoT）產(chǎn)品和 IT 管理服務(wù)器首當(dāng)其沖。因?yàn)檫@些漏洞同時存在于開源和專有堆棧中，包括FreeBSD和西門子的Nucleus NET 。
?

?
攻擊者可以利用NAME：WRECK漏洞竊取敏感數(shù)據(jù)、修改或使設(shè)備脫機(jī)以對制造行業(yè)中的政府或企業(yè)服務(wù)器、醫(yī)療機(jī)構(gòu)、零售商或公司造成重大安全事故。攻擊者還可以利用這些漏洞篡改住宅或商業(yè)場所的智能設(shè)備，以控制供暖和通風(fēng)、禁用安全系統(tǒng)或篡改自動照明系統(tǒng)。
?

?
雖已發(fā)布相關(guān)補(bǔ)丁，但仍有許多設(shè)備無法得到修復(fù)。
?
缺陷均與 TCP / IP 堆棧如何處理 DNS 服務(wù)器有關(guān)，盡管沒有證據(jù)表明這些漏洞已在野外被使用，但黑客仍可能利用它們來破壞網(wǎng)絡(luò)或滲透到受害者的基礎(chǔ)設(shè)施中，從而實(shí)現(xiàn)遠(yuǎn)程控制。
?
對于在醫(yī)療、制造、政府網(wǎng)絡(luò)中使用的關(guān)鍵系統(tǒng)來說，此類破壞或引發(fā)災(zāi)難性的后果。
?
這些漏洞的細(xì)節(jié)將會在今年 5 月第 1 周召開的信息安全會議 Black Hat Asia 2021 上介紹。安全研究人員已經(jīng)向西門子、國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局、以及其它安全追蹤小組和開發(fā)者們披露了這些缺陷，并推出了相應(yīng)的9個補(bǔ)丁，但事情并非做到這一步就算完成了。
?
對于存在缺陷的數(shù)以億計的IoT設(shè)備，許多仍運(yùn)行在較舊的軟件上，其中一些更是無法更新代碼。
?
Forescout研究副總裁Elisa Costante在接受《連線》采訪時稱，他們僅僅是提出了相關(guān)問題，但公眾仍需努力提升相關(guān)意識，且社區(qū)間必須通力協(xié)作，以找出解決問題的相關(guān)方法。
?
此外他們僅分析了15個TCP / IP堆棧中的9個堆棧，隨著時間的推移，很可能找到過去20年里尚未揭開的更多潛在問題。
?

電子發(fā)燒友綜合報道，參考自Wired.com、FreeBuf.COM等，轉(zhuǎn)載請注明以上來源。