危及全球基础设施！多个开源工具DDS标准发现安全漏洞

近日，SonarQube引发的开源软件供应链攻击事件一波未平，新一波开源威胁又接踵而来。

上周，美国网络安全和基础设施安全局(CISA)在漏洞公告中披露，已在多个开源和专有对象管理组(OMG)DDS（数据分发服务）标准中存在安全漏洞。此外，该公告还提供了DDS实施中发现的其他漏洞的缓解建议。

CISA声称漏洞公告是为了帮助企业和机构及早了解漏洞并确定基线缓解措施，以降低遭受网络安全攻击的风险。DDS实施用于航空航天和国防、空中交通控制、自动驾驶汽车、医疗设备、机器人、发电、模拟和测试、智能电网管理、运输系统以及其他需要实时数据交换的应用。

CISA公告中提及的受影响的供应商包括Eclipse、eProsima、GurumNetworks、Object Computing Inc.(OCI)、Real-Time Innovations (RTI)和TwinOaks Computing。

根据公告，应用于多个关键基础设施领域的以下OMG DDS实施受到影响：

• Eclipse CycloneDDS 0.8.0之前的所有版本
• eProsima Fast DDS 2.4.0(#2269)之前的所有版本
• 所有GurumNetworks GurumDDS的版本
• OCI OpenDDS 3.18.1之前的所有版本
• RTI Connext DDS Professional
• Connext DDS Secure的4.2x至6.1.0版本
• RTI Connext DDS Micro的3.0.0及更高版本
• TwinOaks Computing CoreDX DDS5.9.1之前的所有版本

CISA表示，已识别的漏洞包括write-what-where条件、句法无效结构处理不当、网络放大、缓冲区大小计算错误、基于堆的缓冲区溢出、长度参数不一致处理不当、放大和基于堆栈的缓冲区溢出。利用这些漏洞可能会导致拒绝服务或缓冲区溢出，从而可能导致远程代码执行或信息泄露。

该公告称，Federico Maggi（趋势科技研究）、Ta-Lun Yen和Chizuru Toyama（TXOne Networks，趋势科技）向CISA报告了这些漏洞。此外，Patrick Kuo、Mars Cheng（TXOne Networks、趋势科技）、Víctor Mayoral-Vilches（Alias Robotics）和Erik Boasson（凌华科技）也对这项研究做出了贡献。

Eclipse建议其用户应用最新的CycloneDDS补丁，而eProsima也建议其客户应用最新的Fast DDS补丁。CISA联系了Gurum Networks，但后者没有回应协调请求。

CISA建议用户联系GurumNetworks寻求帮助。对于OCI，CISA建议用户更新到OpenDDS 3.18.1或更高版本。RTI建议用户为这些问题应用可用的补丁。修补程序可在RTI客户门户网站上或通过联系RTI支持人员获得。用户还可以联系RTI Support寻求缓解措施，包括如何使用RTI DDS Secure来缓解网络放大问题。

供应商Twin Oaks Computing建议用户应用CoreDX DDS 5.9.1或更高版本，该版本可以从其官方网站（http://www.twinoakscomputing.com/coredx/download）下载，但需要登录。