美国CISA针对数据分发服务供应商的设备漏洞发出警告

美国CISA11月12日发布安全公告，称在Eclipse、eProsima、GurumNetworks、Object Computing, Inc. (OCI)、Real-Time Innovations (RTI)和TwinOaks Computing公司的设备中发现了13个漏洞或缺陷。受漏洞影响的设备包括CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro和CoreDX DDS。漏洞利用的后果包括导致拒绝服务、缓冲区溢出、远程代码执行或信息泄露。CISA称目前尚未发现公开的漏洞利用，但建议管理者尽快对相关工业控制系统进行更新。

在发现了多个开源和专有的对象管理组织(OMG)数据分发服务(DDS)实现中的漏洞后，CISA发布了一份通知，敦促管理员对各种工业控制系统进行更新。

数据分发服务（DDS™）是中间件协议和API标准，用于来自Object ManagementGroup®（OMG®）的以数据为中心的连接。它将系统组件集成在一起，提供低延迟数据连接，极高的可靠性以及业务和关键任务物联网（IoT）应用程序所需的可扩展架构。

OMG对象管理组织是由软硬件厂商和用户组成的联合体。它一直致力于为开放的系统设定标准，以使不同的软件对象可以跨网络和操作系统而进行互操作。OMG工作组针对各种技术和行业制定企业集成标准，并开发可为数千个垂直行业提供现实价值的技术标准。

CISA在报告中称，这些问题是在Eclipse、eProsima、GurumNetworks、Object Computing, Inc. (OCI)、Real-Time Innovations (RTI)和TwinOaks Computing等公司的设备中发现的。包含漏洞的设备包括CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro和CoreDX DDS。

CISA解释说:“成功利用这些漏洞可能导致拒绝服务或缓冲区溢出，这可能导致远程代码执行或信息泄露。”

CISA提供了每家公司针对该问题的补丁或修补程序的链接，但他们指出，GurumNetworks没有回复他们的消息。CISA表示，使用GurumNetworks工具的组织应该直接与他们联系。

ABS集团的工业网络安全服务开发主管Dennis Hackney博士告诉ZDNet，许多工业控制系统的所有者并没有意识到他们的系统充满了开源软件，就像OpenDDS一样。

“原因是多方面的，但往往源于每个控制系统的专有和定制性质。原始设备制造商和工程师开发的解决方案尽可能的实用，而不增加不必要的成本。请注意，ICS本质上是开放的，”Hackney解释道。

他们使用称为OPC的连接，OPC代表过程控制的对象链接和嵌入(OLE)，也被称为开放过程控制规范。开放是指计算机和设备之间未经认证的通信。有越来越多的新的身份验证模型，但这并不能覆盖目前运行的大多数模型。令人担忧的是，当OpenDDS等组件存在漏洞时，由于ICS设计的性质，控制访问和确保服务质量的选项非常有限。”

他补充说，OpenDDS漏洞是一个令人担忧的问题，因为这些应用程序是基于订阅模式的。他说，这些漏洞也令人担忧，因为它们可以被远程利用，而且攻击复杂性很低。

和CISA的通知一样，Hackney建议受影响的组织安装最新的更新，将系统与业务IT网络隔离，利用防火墙，并通过vpn安全远程访问。

其他专家，如Netenrich的主要威胁狩猎者John Bambenek解释说，这个漏洞公告之所以引人注目，是因为它影响了众多供应商和解决实时系统数据分发层的开源解决方案。

通常，漏洞只影响特定的产品。Bambenek说，所有相关部门都以协调一致的方式发布了最新消息，这表明CISA正在认真履行保护关键基础设施和协调许多组织之间的反应的职责。

“虽然CISA表示，这些漏洞还没有发现已知的公共利用情况，但这一声明肯定会促使那些攻击者对攻击这些系统感兴趣，并迅速开发它们。受影响的组织应该在还有时间的时候尽快修补。”

延伸阅读

DDS标准于2004年被OMG（Object Management Group)正式采用。它很快成为P/S标准技术，用于可靠地分发大量数据，并在雷达处理器、飞行和陆地无人机、战斗管理系统、空中交通控制和管理、监控控制和期权系统、高性能遥测、监控和数据采集系统等自动化应用程序中提供低延迟。随着广泛的商业采用，DDS标准作为一项实时数据分发技术已被全球范围内各种组织采用，包括美国海军、国防部(DoD)信息技术标准注册处(DISR)、英国国防部(MoD)、军用车辆协会(MILVA)和管理空中交通管制和管理标准的欧洲组织。

参考资源

1、https://www.zdnet.com/article/cisa-warns-of-vulnerabilities-in-multiple-industrial-control-products/#ftag=RSSbaffb68

2、https://us-cert.cisa.gov/ncas/current-activity/2021/11/12/cisa-releases-advisory-vulnerabilities-multiple-data-distribution

3、https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。