历时18个月的研究项目揪出近100个TCP/IP协议栈漏洞

企业设备安全公司Forescout与其他企业合作进行了名为Project Memoria的调查研究，发现了Ripple20、AMNESIA:33、NUMBER:JACK、NAME:WRECK、INFRA:HALT和NUCLEUS:13等多个漏洞。

TCP/IP协议栈广为各种通信设备所用，深度融入媒体产品、工业控制系统（ICS）、打印机、交换机等设备。

研究人员在14个TCP/IP协议栈中发现了总共97个漏洞，涉及远程代码执行、拒绝服务（DoS）攻击和敏感信息获取等方面。这些漏洞影响成百上千种产品，研究人员估计大约造成30亿台设备容易遭到恶意黑客攻击。

Project Memoria调查研究了15个TCP/IP协议栈，包括CycloneTCP、FNET、FreeBSD、IPnet、lwIP、MPLAB Net、NetX、NicheStack、NDKTCPIP、Nucleus NET、Nut/Net、picoTCP、Treck、uC/TCP-IP和uIP，其中仅IwIP中未发现漏洞。

这些TCP/IP协议栈中有些已经接近30高龄，但仍不断更新。尽管协议开发者仍在发布漏洞补丁，这些补丁却往往未能安装到最终用户的设备上。研究人员认为，这种现象很大程度上归咎于所谓的“无声修复”，即，一些开发人员修复漏洞时未分配CVE标识，导致设备供应商及其客户对这些漏洞一无所知。

Forescout在Project Memoria总结报告中写道：“[无声修复的漏洞]存在于非常关键的供应链软件中，所以有数百万设备长期处于容易遭入侵的状态，甚至其供应商都因为其他供应商选择保持沉默而对此一无所知。无声修复漏洞并不意味着真没人知道：这些漏洞会被人一次又一次重新翻找出来。”

无声修复显然问题多多，却仍有部分供应商即使收到漏洞通告也疏于采取行动堵住漏洞。Forescout发现422家设备供应商的产品存在漏洞。不过，其中仅81家发布了漏洞咨询，而在已证实受漏洞影响的36家设备供应商中，就有10家表示不会提供补丁。

Forescout称：“这意味着，可能受影响的供应商中，仅19%提供了一些公开回应，仅5.5%切实修复了漏洞。”

分析了受Project Memoria所发现漏洞影响的25万台设备后，研究人员发现，政府和医疗行业的系统存在的漏洞数量最多，其次是制造业、零售行业和金融行业。

打印机、网络语音通话产品、工业控制器、存储系统和网络设备是最常见的几种易受漏洞影响的设备类型。以医疗保健企业为例，注射泵和楼宇自动化系统就常常暗含漏洞。

Forescout总结道：“Project Memoria的主要研究结论是，供应链漏洞不会消失，但可以努力缓解，只要安全社区和各家企业采取行动的话。”