URGENT/11和其他最近的漏洞,例如与嵌入式 TCP/IP 堆栈相关的AMNESIA:33,表明在审查和审计软件供应链方面存在缺陷。责任不仅仅在于软件供应商,还指出嵌入式设备制造商需要评估的不仅仅是他们当前开发的产品。
同时,此问题不仅限于嵌入式软件,也不仅限于 TCP/IP 堆栈。相反,它暴露了由重复使用软件组件和频繁发现与其相关的新漏洞而造成的安全风险。
让我们仔细看看 Urgent/11 和 Amnesia:33 漏洞。两者都在嵌入式 TCP/IP 堆栈中,这是令人担忧的,因为网络连接是消费、医疗和工业应用中常用的物联网 (IoT) 设备最有可能的攻击媒介。尽管受影响设备上的网络堆栈是一个常见的弱点,但这些漏洞通常与过时的软件版本有关。漏洞令人担忧,但可以修复和修补。
更令人担忧的是,已知漏洞并未得到修补。截至 2020 年 12 月,97% 的 URGENT/11易受攻击的设备仍未修补。这部分归因于嵌入式系统供应商、最终用户、经销商和集成商对其暴露于这些漏洞的了解缺乏了解。
可能最著名的一组漏洞是 URGENT/11,它最初隶属于 Wind River VxWorks,影响许多流行的嵌入式实时操作系统 (RTOS) 使用的 Interpeak IPnet 嵌入式 TCP/IP 堆栈,并且是商业软件。URGENT/11 中的漏洞代表了软件弱点的名人录:缓冲区溢出、整数下溢、内存缓冲区越界访问、竞争条件、参数注入和空指针取消引用。
受影响的产品通常使用来自 ENEA、GreenHills Software、ITRON、IP Infusion ThreadX 和 Wind River 的嵌入式操作系统 (OS)。在所有情况下,这些供应商都更新或替换了其产品中受影响的 IPnet TCP/IP 堆栈。但是,这些操作系统的旧版本仍在数百万台设备上运行。
与 URGENT/11 类似,AMNESIA:33