危及全球基礎設施！多個開源工具DDS標準發現安全漏洞

近日，SonarQube引發的開源軟件供應鏈攻擊事件一波未平，新一波開源威脅又接踵而來。

上周，美國網絡安全和基礎設施安全局(CISA)在漏洞公告中披露，已在多個開源和專有對象管理組(OMG)DDS（數據分發服務）標準中存在安全漏洞。此外，該公告還提供了DDS實施中發現的其他漏洞的緩解建議。

CISA聲稱漏洞公告是為了幫助企業和機構及早了解漏洞并確定基線緩解措施，以降低遭受網絡安全攻擊的風險。DDS實施用于航空航天和國防、空中交通控制、自動駕駛汽車、醫療設備、機器人、發電、模擬和測試、智能電網管理、運輸系統以及其他需要實時數據交換的應用。

CISA公告中提及的受影響的供應商包括Eclipse、eProsima、GurumNetworks、Object Computing Inc.(OCI)、Real-Time Innovations (RTI)和TwinOaks Computing。

根據公告，應用于多個關鍵基礎設施領域的以下OMG DDS實施受到影響：

• Eclipse CycloneDDS 0.8.0之前的所有版本
• eProsima Fast DDS 2.4.0(#2269)之前的所有版本
• 所有GurumNetworks GurumDDS的版本
• OCI OpenDDS 3.18.1之前的所有版本
• RTI Connext DDS Professional
• Connext DDS Secure的4.2x至6.1.0版本
• RTI Connext DDS Micro的3.0.0及更高版本
• TwinOaks Computing CoreDX DDS5.9.1之前的所有版本

CISA表示，已識別的漏洞包括write-what-where條件、句法無效結構處理不當、網絡放大、緩沖區大小計算錯誤、基于堆的緩沖區溢出、長度參數不一致處理不當、放大和基于堆棧的緩沖區溢出。利用這些漏洞可能會導致拒絕服務或緩沖區溢出，從而可能導致遠程代碼執行或信息泄露。

該公告稱，Federico Maggi（趨勢科技研究）、Ta-Lun Yen和Chizuru Toyama（TXOne Networks，趨勢科技）向CISA報告了這些漏洞。此外，Patrick Kuo、Mars Cheng（TXOne Networks、趨勢科技）、Víctor Mayoral-Vilches（Alias Robotics）和Erik Boasson（凌華科技）也對這項研究做出了貢獻。

Eclipse建議其用戶應用最新的CycloneDDS補丁，而eProsima也建議其客戶應用最新的Fast DDS補丁。CISA聯系了Gurum Networks，但后者沒有回應協調請求。

CISA建議用戶聯系GurumNetworks尋求幫助。對于OCI，CISA建議用戶更新到OpenDDS 3.18.1或更高版本。RTI建議用戶為這些問題應用可用的補丁。修補程序可在RTI客戶門戶網站上或通過聯系RTI支持人員獲得。用戶還可以聯系RTI Support尋求緩解措施，包括如何使用RTI DDS Secure來緩解網絡放大問題。

供應商Twin Oaks Computing建議用戶應用CoreDX DDS 5.9.1或更高版本，該版本可以從其官方網站（http://www.twinoakscomputing.com/coredx/download）下載，但需要登錄。