30万台设备处于危险之中 “无声修复”威胁供应链安全

近日，物联网安全公司Forescout与其他企业合作进行了名为Project Memoria的调查研究，该调查历时18个月之久，研究人员在14个TCP/IP协议栈中发现了总共97个漏洞，涉及远程代码执行、拒绝服务（DoS）攻击和敏感信息获取等方面。

!

30亿台设备安全性将受影响

TCP/IP协议栈广为各种通信设备所用，深度融入媒体产品、工业控制系统（ICS）、打印机、交换机等设备。研究人员发现的漏洞将影响成百上千种产品，研究人员估计大约造成30亿台设备容易遭到恶意黑客攻击。

Project Memoria调查研究了15个TCP/IP协议栈，其中仅IwIP未发现漏洞，而CycloneTCP、FNET、FreeBSD、IPnet、lwIP、MPLAB Net、NetX、NicheStack、NDKTCPIP、Nucleus NET、Nut/Net、picoTCP、Treck、uC/TCP-IP和uIP则无一幸免。

!

“无声修复”威胁供应链安全

这些TCP/IP协议栈中有些已经接近30高龄，但仍不断更新。尽管协议开发者仍在发布漏洞补丁，这些补丁却往往未能安装到最终用户的设备上。研究人员认为，这种现象很大程度上归咎于所谓的“无声修复”。

“无声修复”指的是一些开发人员修复漏洞时未分配CVE标识，导致设备供应商及其客户对这些漏洞一无所知。

Forescout在Project Memoria总结报告中写道：“[无声修复的漏洞]存在于非常关键的供应链软件中，所以有数百万设备长期处于容易遭入侵的状态，甚至其供应商都因为其他供应商选择保持沉默而对此一无所知。

“无声修复漏洞并不意味着真没人知道，这些漏洞会被人一次又一次重新翻找出来。”研究人员表示。

!

不容乐观 漏洞修复率仅5.5%

无声修复显然问题多多，却仍有部分供应商即使收到漏洞通告也疏于采取行动堵住漏洞。Forescout发现422家设备供应商的产品存在漏洞。不过，其中仅81家发布了漏洞咨询，而在已证实受漏洞影响的36家设备供应商中，就有10家表示不会提供补丁。

Forescout称：“这意味着，可能受影响的供应商中，仅19%提供了一些公开回应，仅5.5%切实修复了漏洞。”

分析了受Project Memoria所发现漏洞影响的25万台设备后，研究人员发现，政府和医疗行业的系统存在的漏洞数量最多，其次是制造业、零售行业和金融行业。

打印机、网络语音通话产品、工业控制器、存储系统和网络设备是最常见的几种易受漏洞影响的设备类型。以医疗保健企业为例，注射泵和楼宇自动化系统就常常暗含漏洞。

Forescout总结道：“Project Memoria的主要研究结论是，供应链漏洞不会消失，但可以努力缓解，只要安全社区和各家企业采取行动的话。”

The End