AMNESIA：33 有一组严重的TCP / IP漏洞影响数百万个IoT设备 / 四六文摘

AMNESIA：33是一组33个漏洞，影响四个开源TCP / IP堆栈（uIP、FNET、picoTCP和Nut / Net），这些堆栈共同构成了全球数百万个连接设备的基础组件。主要导致内存损坏，可以破坏设备、执行恶意代码、执行拒绝服务攻击并窃取敏感信息等。

网络安全研究人员揭示了多个广泛使用的嵌入式TCP / IP堆栈中的新缺陷，影响数百万种设备，从网络设备、医疗设备到工业控制系统，攻击者可能会利用它们来控制易受攻击的系统。

在现实世界中，攻击可能会以各种方式实现：破坏电站的功能以导致停电，或者通过使用任何DoS漏洞使烟雾报警器和温度监控器系统脱机。

这些漏洞将在Forescout的Project Memoria计划中进行研究，据称将在Black Hat Europe安全会议上详细介绍这些漏洞，研究TCP / IP堆栈的安全性。

这一发现促使美国CISA ICS-CERT发布安全建议，通知所报告的漏洞并确定基线预防措施，以减轻与漏洞相关的风险。

据Forescout估计有158个供应商的数百万设备易受AMNESIA：33影响，攻击者可以通过远程代码执行完全控制设备，并将其用作IoT设备网络上的入口点，进行横向移动攻击，甚至建立持久性，并在用户毫不知情的情况下将受感染的系统加入僵尸网络。

Forescout研究人员说：“AMNESIA：33影响到多个拥有的开源TCP / IP协议栈，意味着单个漏洞倾向于在多个代码库、开发团队、公司和产品之间轻松且悄无声息地传播，这给补丁管理带来了巨大挑战。”

由于这些漏洞涉及复杂的物联网供应链，因此Forescout警告说，确定哪些设备难以根除受到影响是具有挑战性的。

这是物联网领域继Urgent / 11和Ripple20之后，又一次物联网漏洞大集合。同样，AMNESIA：33有越界写入、溢出漏洞或缺乏输入验证，从而导致内存损坏并使攻击者能够将设备置于无限大的状态，破坏DNS缓存并提取任意数据。

uIP（CVE-2020-24336）、picoTCP（CVE-2020-24338）和Nut / Net（CVE-2020-25111）是三个最严重的问题，都是远程代码执行（RCE）缺陷和的CVSS评分为9.8（满分10分）。

CVE-2020-24336-用于解析通过NAT64发送的DNS响应数据包中的DNS记录的代码无法验证响应记录的长度字段，从而使攻击者可以破坏内存。

CVE-2020-24338-解析域名的功能缺少边界检查，使攻击者可以使用精心制作的DNS数据包破坏内存。

CVE-2020-25111-在处理DNS响应资源记录的名称字段期间发生堆缓冲区溢出，从而允许攻击者通过将任意数量的字节写入分配的缓冲区来破坏相邻内存。

受此漏洞影响的Microchip Technology和Siemens等供应商已经发布相关安全公告。

美国CISA公布的部分受影响的生产厂商

Forescout方面认为：“嵌入式系统，例如IoT和OT设备，由于补丁程序问题，较长的支持生命周期和漏洞“欺骗”高度复杂和不透明的供应链，漏洞往往具有较长的寿命。嵌入式TCP / IP堆栈中的漏洞有可能影响跨垂直行业的数百万甚至数十亿个设备，并且在很长一段时间内仍将是一个问题。”

除了敦促组织在部署防御措施之前进行适当的影响分析和风险评估之外，美国CISA还建议最大程度地减少网络暴露面，采用防火墙隔离控制系统网络和远程设备以及使用虚拟专用网络（VPN）进行安全的远程访问。

AMNESIA：33 有一组严重的TCP / IP漏洞影响数百万个IoT设备