研究人员揭露4个开源TCP/IP堆叠的安全漏洞Amnesia:33

IoT安全业者Forescout本周揭露，包括uIP、FNET、picoTCP与Nut/Net的4项开源TCP/IP堆叠含有33个安全漏洞，这些漏洞被通称为Amnesia，主要可造成内存毁损，进而允许骇客危害装置、执行任意程式、进行服务阻断攻击与窃取机密资讯，将波及全球数百万个连网装置。同一天美国国土安全部旗下的US-CERT也对此发布警告。

Forescout说明，这4个开源的TCP/IP堆叠为全球数百万连网装置的基础元件，估计影响逾150家供应商，而且单个漏洞就可能影响许多不同的程式码、开发团队、企业或产品，诸如操作系统、嵌入式装置、系统单芯片、网络设备，以及各种企业或消费端的IoT装置，使得要辨识含有漏洞的装置更形困难。

这33个漏洞主要藏匿在这些TCP/IP堆叠的7个元件中，涵盖DNS、IPv6、IPv4、TCP、ICMP、LLMNR与mDNS，可能造成的危害包括远端程式攻击、服务阻断、资讯外泄与DNS快取中毒，一般来说，成功的开采将允许骇客取得受害装置的控制权。

Amnesia:33在CVSS v3的风险等级高达9.8，US-CERT亦警告，相关漏洞涉及无限循环、整数溢位、越界读取/写入、不当的输入验证，与不当空终止等，而且这4个开源堆叠也可能被应用在其它的分支。

虽然Forescout并未公布受影响的业者名单，但US-CERT揭露了已针对Amnesia:33提出安全公告的十多家业者。

值得注意的是，尽管部分业者已采取行动进行修补，但不管是uIP、FNET、picoTCP或Nut/Net专案都尚未提供官方修补，研究人员猜测，也许有些版本的生命周期已经结束，但依然开放使用者下载，使得采用这些专案的业者必须自行修补。

US-CERT列出了这33个漏洞编号与细节，并建议使用者应采取的防御措施，例如尽量别让控制系统或其它系统曝露在公开网络上，以防火墙来保护控制系统或将它们与商业网络隔离，若必须远端存取则最好采用可靠的VPN服务，以及以内部的DNS服务器来执行DoH查询功能。