网络安全研究人员发现了”数百万”智能家居和物联网设备中使用的开源软件中包含的大量漏洞。
网络安全公司 Forescout披露的 33 个漏洞影响 150 多个供应商生产的设备中使用的四个开源 TCP/IP 堆栈。这33个漏洞,包括4个关键的安全缺陷,被称为”AMNESIA:33″。
根据 Forescout 的说法,这些漏洞会导致内存损坏,这可能使攻击者能够危害设备、执行恶意代码、窃取敏感信息以及执行拒绝服务攻击。
大多数受影响的设备都是面向消费者的产品,如远程温度传感器和摄像机。但是,这些漏洞可以覆盖从简单的智能插头、办公室路由器到工业控制系统组件和医疗设备。
缺陷的严重性及其广泛性导致网络安全和基础设施安全机构发布公告,告知用户和制造商有关威胁。它建议采取防御性措施,例如从互联网上删除关键基础设施。
尽管存在潜在的漏洞,但CISA指出,似乎没有迹象表明有专门针对这些漏洞的广泛攻击活动。
然而,这个漏洞的一个令人担忧的方面是,它们存在于开源软件中,Forescout说。这可能意味着解决它们更加困难,因为开源软件通常由志愿者维护,并且一些易受攻击的代码已经20年了。
Forescout 提醒美国、德国和日本的网络安全部门,以及尽可能多的设备供应商。
受影响的设备的完整列表尚未公布。据说这份名单包括西门子、Genetec、Devolo、NT-Ware、Microchip和Nanotec。
建议使用智能家居设备的用户查看制造商的网站以获取最新的修补程序和安全信息。除此之外,主要要由制造商来解决问题。