信息化觀察網(wǎng)

數(shù)百萬智能家居和物聯(lián)網(wǎng)設(shè)備所使用的基礎(chǔ)開源軟件被曝光存在大量漏洞，意味著你家中的智能設(shè)備就可能因這些漏洞而受到黑客攻擊。網(wǎng)絡(luò)安全公司 Forescout 今日披露了 33 個(gè)漏洞，對(duì) 4 個(gè)開源 TCP/IP 堆棧產(chǎn)生嚴(yán)重影響，而這些堆棧已經(jīng)被全球超過 150 家供應(yīng)商部署在諸多設(shè)備中。

根據(jù)Forescout的說法，這些漏洞會(huì)導(dǎo)致內(nèi)存損壞，這可能使攻擊者能夠破壞設(shè)備，執(zhí)行惡意代碼，竊取敏感信息以及執(zhí)行拒絕服務(wù)攻擊。受影響的大多數(shù)設(shè)備都是面向消費(fèi)者的產(chǎn)品，例如遠(yuǎn)程溫度傳感器和攝像機(jī)。但是，它們的范圍從簡單的智能插頭和辦公路由器到工業(yè)控制系統(tǒng)組件和醫(yī)療保健設(shè)備。

這些漏洞的危害極大，而且受影響范圍非常廣，因此網(wǎng)絡(luò)安全和基礎(chǔ)結(jié)構(gòu)安全局（CISA）還特別發(fā)布了公告，向受影響的用戶和制造商提供建議。在公告中建議采取它建議采取防御措施，例如從互聯(lián)網(wǎng)上刪除關(guān)鍵基礎(chǔ)設(shè)施。盡管有被黑客利用的可能，但是 CISA 指出目前并沒有證據(jù)表明有黑客利用這些漏洞對(duì)用戶發(fā)起攻擊。

Forescout表示，漏洞的令人擔(dān)憂的方面之一是它們存在于開源軟件中。這可能意味著解決這些問題要困難得多，因?yàn)殚_放源代碼軟件通常由志愿者維護(hù)，而某些易受攻擊的代碼已經(jīng)使用了二十年。由設(shè)備制造商確定并修補(bǔ)漏洞。但是，由于某些泄露的代碼存在于第三方組件中，因此必須已記錄了組件的使用，以便設(shè)備制造商知道該組件的存在。