NAME:WRECK 漏洞影响近亿台物联网设备

安全研究员 Forescout 和 JSOF 将这些漏洞命名为 “NAME:WRECK”，是 “内存项目 (Project Memoria)” 计划（旨在研究广泛使用的 TCP/IP 栈的安全）的一部分。各种各样的厂商都在固件中集成 TCP/IP 栈，提供互联网和网络连接功能。

研究人员指出，“这些漏洞和 DNS 实现有关，可导致拒绝服务或远程代码执行后果，使目标设备下线或者被控制。”

漏洞被统称为 “NAME:WRECK”，名称源自这一事实：域名解析可使 TCP/IP 栈中的 DNS 实现被攻破 (“wreck”)，此外，最近涌现的漏洞如 SigRed、SAD DNS 和 DNSpooq 利用“互联网电话本”当作攻击向量。

这也是研究人员从 TCP/IP 协议栈中发现的第五个安全弱点，这些弱点影响数百万台联网设备：URGENT/11、Ripple20、AMNESIA:33 和 NUMBER:JACK。

具体而言，这次研究成果使我们能够仔细查看 DNS 协议所使用的 “信息压缩” 图式，它“删除了信息中的域名重复”，旨在减少信息大小，发现 FreeBSD (12.1)、IPnet (VxWorks 6.6)、Nucleus NET (4.3) 和 NetX (6.0.1) 栈中的多个缺陷。

在合理的真实攻击场景中，攻击者能够通过向服务器发送 DNS 请求的面向互联网的设备，利用这些缺陷入侵组织机构网络并提取敏感信息，甚至将其作为破坏关键设备的跳板。

除了 IPnet 外，FreeBSD、Nucleus NET 和 NetX 均已发布补丁，要求使用易受攻击软件版本的设备厂商将更新后的固件发送给客户。

不过和其它缺陷一样，应用修复方案时会面临多个障碍。除了对运行在设备上的 TCP/IP 栈的相关信息缺乏了解外，由于这些设备并非集中管理或由于在任务关键进程如医疗和工控系统中起到关键作用而无法下线，因此补丁交付存在困难。

换句话说，除了需要找到所有易受攻击的设备外，补丁从栈厂商交付到设备固件中还需要耗费大量时间。

更糟糕的是，在某些情况下，可能永远无法推送补丁，因此很多受影响设备很可能在多年时间里仍然易受攻击，或者被弃用后才能解决这个问题。

虽然可能无法提供快速修复方案，但研究表明存在一些缓解措施可检测到利用这些缺陷的尝试。Forescout 已发布开源脚本检测运行受影响栈的设备。另外，研究员还建议在补丁发布前，执行网络分段控制，并监控恶意包的网络流量，防止它们攻击 DNS、mDNS和 DHCP 客户端。

这项研究将在2021年5月6日举行的亚洲黑帽大会上展示。

研究人员指出，“NAME:WRECK 案例说明 RFC 某部分的恶意实现可能造成灾难性后果，使 TCP/IP 栈的不同部分以及使用该栈的不同产品受影响。另外耐人寻味的使，不支持压缩（如 IwIP 情况）是有效缓解此类漏洞的方法。由于在快连接世界中，保存和此类压缩相关的带宽几乎没有任何作用，因此我们认为由当前引入对 DNS 消息压缩的支持引起的问题比解决的问题多。”