美國網絡安全和基礎設施安全局(CISA)已有發出了公告在網絡安全研究人員聲稱發現軟件中的漏洞之後,12月7日,這些漏洞通常由數百萬互聯網連接的設備使用。
根據華盛頓時報ForeScout Technologies是一家網絡安全公司,於12月8日發布了一份報告,該報告標記了約150家設備製造商,這些設備可能受到從“智能”插頭,打印機,路由器,網絡熱計,醫療保健設備和工業控制系統組件的影響。
黑客可以利用這些缺陷來滲透家庭和商業網絡並摧毀它們。但是,研究人員發現,受影響很高的設備是遙控溫度攝像機和傳感器。
美國網絡安全代理機構國旗脆弱性在數百萬個物聯網設備中發現
CISA在公告中標記了漏洞,即使沒有任何使用這些缺陷進行入侵的證據。該機構建議用戶採取防禦行動,以降低被黑客入侵的風險。它建議刪除與公司網絡隔離的在線工業控制系統。
這CISA每週脆弱性摘要公告列出的缺陷分為低,中和高脆弱性,這些缺陷由共同的漏洞評分系統標準決定。它基於嚴重性和脆弱性命名標準的共同漏洞和暴露。
在進行了有關TCP/IP軟件安全性的研究之後,ForeScout發現了漏洞。這是被稱為Memoria Project Memoria的最大研究,該研究花了一年的時間才能完成。該公司已經向我們,日本和德國的計算機安全當局提醒,並向眾多供應商和公司通報了他們的發現,該發現稱為健忘症:33。但是,ForeScout研究副總裁Elisa Costante表示,幾乎不可能識別所有受缺陷影響的設備。
布里斯托爾大學計算機科學家Awais Rashid審查了ForeScout的發現說的“對社會關鍵服務”的控制系統,例如電力水,自動化的建築管理可能會因這些缺陷而削弱。
拉希德(Rashid)還說,這項研究突出了有關危險的研究,網絡安全專家經常在互聯網連接的電器上發現。這些是導致開發人員的設計不佳和凌亂的編程,對這些設備的安全性較低。
如何在智能設備上修復這些漏洞
由於這些缺陷的範圍會影響數百萬個設備,因此解決問題非常複雜,因為大多數設備都使用開源軟件,這些軟件是自由分配的代碼,這些軟件會稍微更改。這種情況涉及基本的Internet軟件,該軟件管理智能設備之間的通信槽TCP/IP技術。
Costante指出,在這些設備中固定缺陷非常複雜。該軟件是開源的,通常通常由志願者維護。但是,Costante表示,由於脆弱的TCP/IP代碼已經二十年了,因此不再支持。
同時,拉希德說,最大的挑戰是“找出您擁有的東西”。由於某些受損的代碼植根於另一個供應商的組件,因此受害者甚至製造商都可能不知道它在那裡,因為沒有人記錄過這種情況。
製造商需要自己修補缺陷,儘管有些人甚至可能不花時間和金錢來做到這一點。如果沒有固定,這些漏洞將使公司網絡敞開大門,包括惡意軟件,勒索軟件,拒絕攻擊以及其他劫持設備的其他攻擊。
隨著世界遭受大流行的迫使數百萬人和公司從家里工作,因此,家庭網絡的風險很高,而黑客被黑客遭到折衷和使用,以訪問企業網絡。
這歸技術時代擁有
由CJ Robles撰寫
