数以百万计的设备，无极4从消费产品如打印机和IP摄像机，到跨组织使用的专用设备如视频会议系统和工业控制系统，由于在嵌入式TCP/IP库中发现的关键漏洞而处于危险之中。有些缺陷允许通过网络远程执行代码，可能会对受影响的设备造成完全的危害。

 

这些漏洞是由一家名为JSOF的以色列公司发现的，注册无极4网址该公司专门从事物联网和嵌入式设备的安全。它们影响了一家名为Treck的公司开发的网络协议的专有实现。研究人员发现了19处缺陷，其中几处被评为严重缺陷，并将其称为“涟漪”，因为这些缺陷早在2020年就被报告过，对嵌入式供应链产生了连锁反应。

 

JSOF与物联网安全和可见性公司Forescout的研究人员合作，无极4平台待遇通过在其庞大的嵌入式设备知识库中使用TCP/IP网络签名来识别可能受到影响的产品。研究人员还与美国网络安全与基础设施安全局(CISA)的关键基础设施部门——ict - cert合作，通知并确认受影响的产品和供应商。

 

到目前为止，有11家供应商的产品被证实存在漏洞，包括输液泵、打印机、UPS系统、网络设备、销售点设备、IP摄像头、视频会议系统、楼宇自动化设备和ICS设备，但研究人员认为，这些漏洞可能会影响100多家供应商的数百万台设备。

 

内存泄露漏洞

 

所有的漏洞都是内存损坏问题，这些内存损坏问题源于处理通过网络发送的数据包时出现的错误，这些数据包使用不同的协议，包括IPv4、ICMPv4、IPv6、IPv6OverIPv4、TCP、UDP、ARP、DHCP、DNS或以太网链路层。两个漏洞在常见的漏洞评分系统(CVSS)被评为10，这是可能的最高严重程度的分数。一个可能导致远程代码执行，另一个可能导致越界写入。另外两个缺陷被评为9级以上，这意味着它们也是非常重要的，可能导致远程代码执行或敏感信息暴露。

 

即使评级较低，剩下的漏洞可能是严重的，因为CVSS分数不总是反映基于设备类型的实际部署的风险。例如，在关键基础设施或医疗保健设置中，阻止设备执行其关键功能的拒绝服务漏洞可以被视为关键漏洞，并可能导致灾难性的后果。

 

当谈到关键基础设施安全properties-confidentiality中情局三合会,完整性和可用性是逆转,你担心更多的可用性,因为业务需要运行,例如,在一条铁路,在天然气管道或制造厂,丹尼尔·多斯桑托斯Forescout研究经理告诉方案。

 

JSOF的首席执行官Shlomi Oberman告诉CSO:“在关键基础设施中，拒绝服务问题仍然不被认为是关键的原因是，这样的基础设施太多了。”“有各种各样的资源消耗问题没有得到解决，我们还有很长的路要走，还有一场大战要打，直到我们达到目标。我们仍在努力达到这样一种状态:每个人都至少修复了他们的远程代码执行。”