聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员表示,应用广泛的数据分发服务 (DDS) 协议受多个漏洞影响,可导致攻击者用于实施多种目的。
DDS 是由标准开发组织机构 Object Management Group (OMG) 维护的,用于数据连接的中间件协议和API 标准,是业务关键 IoT 系统的理想之选。DDS 一直用于多种行业中如公共交通、空中交通管理、航天航空、自动化驾驶、工业机器人、医疗设备和导弹以及其它军事系统。
很多组织机构如美国航天局 (NASA)、西门子和大众和流行的机器人操作系统 (ROS) 都在使用 DDS。DDS 的实现分开源和闭源实现两种,用于多种组织机构如 ADLINK Technology、Eclipse (CycloneDDS)、eProsima (Fast DDS)、OCI (OpenDDS)、TwinOaks Computing (CoreDX DDS)、Gurum Networks (GurumDDS) 和 RTI (Connext DDS)。
趋势科技、TXOne Networks、Alias Robotics 和 ADLINK Technology 公司的研究人员分析了该 DDS 标准和之前提到的实现后发现了十多个漏洞。研究人员在2021年欧洲黑帽大会上发布了一些研究成果,并表示将在2022年发布研究论文。
同时,美国网络安全和基础设施安全局 (CISA) 发布了一份和该研究相关的工控系统 (ICS) 安全公告称,“CISA 发布这份安全报告,提前通知所报告漏洞并找到降低此类以及其它网络安全攻击的基准缓解措施。“
CISA 表示,已经为 CycloneDDS、FastDDS、OpenDDS、ConnextDDS 和 CoreDX DDS 发布补丁,不过Gurum似乎并未发布补丁,研究人员的通知尝试多次遭该公司忽视。
已发现的漏洞包括write-what-where 条件、不合法结构的不当处理、网络放大、缓冲区分配和缓冲区溢出漏洞。这些漏洞可用于执行任意代码、获取信息或造成拒绝服务条件。
然而,研究人员在演讲中指出,由于DDS 一般是本地部署到控制网络深处,因此攻击者可能并不会找到在互联网暴露的系统。
推荐阅读
BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备
NUCLEUS:13:西门子实时操作系统 Nucleus漏洞影响物联网设备等
【DEF CON】数十亿物联网设备受严重随机数生成器缺陷影响
详解ThroughTek P2P 供应链漏洞对数百万物联网设备的安全新风险
原文链接
https://www.securityweek.com/iot-protocol-used-nasa-siemens-and-volkswagen-can-be-exploited-hackers
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~