美国网络安全和基础设施安全局(CISA)已有发出了公告在网络安全研究人员声称发现软件中的漏洞之后,12月7日,这些漏洞通常由数百万互联网连接的设备使用。
根据华盛顿时报ForeScout Technologies是一家网络安全公司,于12月8日发布了一份报告,该报告标记了约150家设备制造商,这些设备可能受到从“智能”插头,打印机,路由器,网络热计,医疗保健设备和工业控制系统组件的影响。
黑客可以利用这些缺陷来渗透家庭和商业网络并摧毁它们。但是,研究人员发现,受影响很高的设备是遥控温度摄像机和传感器。
美国网络安全代理机构国旗脆弱性在数百万个物联网设备中发现
CISA在公告中标记了漏洞,即使没有任何使用这些缺陷进行入侵的证据。该机构建议用户采取防御行动,以降低被黑客入侵的风险。它建议删除与公司网络隔离的在线工业控制系统。
这CISA每周脆弱性摘要公告列出的缺陷分为低,中和高脆弱性,这些缺陷由共同的漏洞评分系统标准决定。它基于严重性和脆弱性命名标准的共同漏洞和暴露。
在进行了有关TCP/IP软件安全性的研究之后,ForeScout发现了漏洞。这是被称为Memoria Project Memoria的最大研究,该研究花了一年的时间才能完成。该公司已经向我们,日本和德国的计算机安全当局提醒,并向众多供应商和公司通报了他们的发现,该发现称为健忘症:33。但是,ForeScout研究副总裁Elisa Costante表示,几乎不可能识别所有受缺陷影响的设备。
布里斯托尔大学计算机科学家Awais Rashid审查了ForeScout的发现说的“对社会关键服务”的控制系统,例如电力水,自动化的建筑管理可能会因这些缺陷而削弱。
拉希德(Rashid)还说,这项研究突出了有关危险的研究,网络安全专家经常在互联网连接的电器上发现。这些是导致开发人员的设计不佳和凌乱的编程,对这些设备的安全性较低。
如何在智能设备上修复这些漏洞
由于这些缺陷的范围会影响数百万个设备,因此解决问题非常复杂,因为大多数设备都使用开源软件,这些软件是自由分配的代码,这些软件会稍微更改。这种情况涉及基本的Internet软件,该软件管理智能设备之间的通信槽TCP/IP技术。
Costante指出,在这些设备中固定缺陷非常复杂。该软件是开源的,通常通常由志愿者维护。但是,Costante表示,由于脆弱的TCP/IP代码已经二十年了,因此不再支持。
同时,拉希德说,最大的挑战是“找出您拥有的东西”。由于某些受损的代码植根于另一个供应商的组件,因此受害者甚至制造商都可能不知道它在那里,因为没有人记录过这种情况。
制造商需要自己修补缺陷,尽管有些人甚至可能不花时间和金钱来做到这一点。如果没有固定,这些漏洞将使公司网络敞开大门,包括恶意软件,勒索软件,拒绝攻击以及其他劫持设备的其他攻击。
随着世界遭受大流行的迫使数百万人和公司从家里工作,因此,家庭网络的风险很高,而黑客被黑客遭到折衷和使用,以访问企业网络。
这归技术时代拥有
由CJ Robles撰写
