下文:停止

下文:停止

欧博allbet网址研究实验室和JFrog安全研究发现了14个影响封闭源TCP/IP栈NicheStack的新漏洞, 允许拒绝服务或远程代码执行,主要影响操作技术(OT)和工业控制系统(ICS)设备.

14

关键的漏洞

1

TCP / IP栈

200+

设备制造商的影响

下文:停止

欧博allbet网址研究实验室与JFrog安全研究合作,公开了下文:停止, 一组14个新的漏洞,影响hcc拥有的, 关闭源TCP/IP栈NicheStack. NicheStack最初是由InterNiche Technologies开发的,已经在关键基础设施领域使用了20年. 几乎所有主要的工业自动化供应商都在其产品和解决方案中加入了NicheStack.

INFRA的影响:HALT

下文:停止漏洞影响在数百万OT和ICS中使用的闭源TCP/IP堆栈NicheStack, 特别是在离散和过程制造业. 这些漏洞包括DNS缓存中毒, TCP欺骗, 拒绝服务和远程代码执行. 成功的攻击可能导致OT和ICS设备脱机,并劫持它们的逻辑. 被劫持的设备可以将恶意软件传播到它们在网络上进行通信的地方.

深入研究

本报告公开了封闭源TCP/IP协议栈NicheStack的14个漏洞,并为企业网络运营商提出了解决方案, OT和ICS设备开发人员和网络安全社区. 了解哪些类型的设备容易被利用,以及使它们易受攻击的特征, 以及你可以立即采取的措施来降低风险.

下载报告

风险缓解策略

在这篇博客, 来自欧博allbet网址研究实验室和JFrog安全研究的研究人员对他们的技术研究报告中的发现进行了分解,并讨论了其他研究人员是如何进行的, 开发人员, 供应商和企业客户可以降低这些漏洞的风险.

阅读博客

了解forecout如何提供帮助

欧博allbet网址最近发布了一个开源脚本,用于发现运行脆弱的TCP/IP堆栈NicheStack的设备. 我们的常见问题包括对补丁和补救的见解, 分段实施和配置设备依赖内部DNS服务器和监控网络流量的恶意数据包.

了解如何保护OT和ICS设备免受下文:停止漏洞的攻击

风险缓解

对下文:停止的完全保护需要对运行NicheStack脆弱版本的设备进行补丁. HCC Embedded已根据要求提供其官方补丁, 使用这种软件的设备供应商应该向客户提供他们自己的更新.

由于OT设备的关键任务性质,给它们打补丁是出了名的困难, 森林封杀建议以下缓解战略:c

  • 发现并盘点运行NicheStack的设备. 欧博allbet网址研究实验室发布了一份 开源脚本 它使用主动指纹识别来检测运行NicheStack的设备. 剧本不断更新,有新的签名,以跟上我们研究的最新发展. 欧博allbet网址还为视力发布了更新的安全策略模板(SPT),以检测运行堆栈的设备 (下面的更多细节).
  • 加强细分控制和适当的网络卫生 降低易受攻击设备的风险. 限制外部通信路径,将脆弱设备隔离或包含在区域内,以缓解无法修补或只能修补的情况.
  • 监控受影响设备厂商发布的渐进补丁 为你脆弱的资产库存设计一个补救计划,平衡业务风险和业务连续性需求.
  • 监控所有网络流量的恶意包 试图利用已知漏洞或可能的0天. 应该阻止异常和畸形的流量, 或者至少提醒网络运营商它的存在. 欧博allbet网址为eyeInspect发布了一个脚本,用于检测针对INFRA漏洞的攻击企图:HALT

forecout如何提供帮助

视力 使用安全策略模板(SPTs)模块识别和分组易受攻击/潜在易受攻击的设备. SPT包的新版本, 哪些设备可以识别易受下文:停止攻击 在这里.

eyeInspect 可以使用以下脚本检测开发尝试:

  • “下文:停止 Monitor”检测针对InterNiche网络服务器的攻击企图: cve cve - 2021 - 27565 - 2021 - 31226, cve - 2021 - 31227.
  • “威胁检测附加组件”包含对畸形DNS包(以及其他许多包)的检测逻辑,可以检测针对DNS客户端的各种利用尝试, 即: CVE-2020-25928、CVE-2020-25767和CVE-2020-25927. 此脚本还检测在 名称:沉船健忘症:33个研究.

eyeSegment 提供现有通信的网络流映射, 这有助于识别非预期的沟通和执行适当的分割控制. 一旦识别出易受攻击的设备, 它们可以在逻辑上分组,以减少允许与它们之间或与它们之间的交流, 从而限制了妥协的可能性和发生妥协时的爆炸半径.