TCP/IP堆棧漏洞影響數百家工控設備供應商
日前,Forescout研究人員發現了14個影響專有NicheStack(又名 InterNiche)TCP/IP堆棧的新漏洞,這些堆棧用于OT設備,例如非常流行的Siemens S7 PLC。
研究人員同時指出:“主要的OT設備供應商,如艾默生、霍尼韋爾、三菱電機、羅克韋爾自動化和施耐德電氣,均為堆棧原始開發商InterNiche的客戶。該堆棧在OT中非常歡迎,受影響最大的垂直行業是制造業。”
NicheStack中的INFRA:HALT漏洞
NicheStack TCP/IP堆棧由InterNiche Technologies于1996年開發。自問世以來,它已被各種OEM以多種形式分發,并作為其他TCP/IP堆棧的基礎。
Forescout和JFrog Security研究人員在NicheStack中發現的14個漏洞被統稱為INFRA:HALT,允許遠程代碼執行、拒絕服務、信息泄漏、TCP欺騙和DNS緩存中毒。
“如果這些漏洞被利用,不法分子就可以控制用于控制照明、電力、安全和消防系統的樓宇自動化設備,以及用于運行裝配線、機器或機器人設備的可編程邏輯控制器 (PLC)。這可能會讓攻擊者實現對網聯網設備的訪問,一旦被訪問,堆棧就會成為在IT網絡中傳播感染性惡意軟件的易受攻擊的入口點,進而有可能嚴重破壞工業運營。”研究人員解釋說。
補救和緩解
花了將近一年時間,該公司為受影響的NicheStack版本(即4.3之前的所有版本)發布了補丁。研究人員指出,補丁可應要求提供,使用堆棧的設備供應商應向客戶提供自己的更新。
Forescout提供了一個開源腳本,企業管理員可以使用它來檢測運行NicheStack(和其他易受攻擊的TCP/IP堆棧)的設備。
除了實施補丁外,還敦促管理員使用網絡分段來降低易受攻擊設備的風險,并監控所有網絡流量中是否存在試圖利用已知漏洞或零日漏洞的惡意數據包。
