美國(guó)CISA11月12日發(fā)布安全公告，稱在Eclipse、eProsima、GurumNetworks、Object Computing, Inc. （OCI）、Real-Time Innovations （RTI）和TwinOaks Computing公司的設(shè)備中發(fā)現(xiàn)了13個(gè)漏洞或缺陷。受漏洞影響的設(shè)備包括CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro和CoreDX DDS。漏洞利用的后果包括導(dǎo)致拒絕服務(wù)、緩沖區(qū)溢出、遠(yuǎn)程代碼執(zhí)行或信息泄露。CISA稱目前尚未發(fā)現(xiàn)公開(kāi)的漏洞利用，但建議管理者盡快對(duì)相關(guān)工業(yè)控制系統(tǒng)進(jìn)行更新。

　　在發(fā)現(xiàn)了多個(gè)開(kāi)源和專有的對(duì)象管理組織（OMG）數(shù)據(jù)分發(fā)服務(wù)（DDS）實(shí)現(xiàn)中的漏洞后，CISA發(fā)布了一份通知，敦促管理員對(duì)各種工業(yè)控制系統(tǒng)進(jìn)行更新。

　　數(shù)據(jù)分發(fā)服務(wù)（DDS?）是中間件協(xié)議和API標(biāo)準(zhǔn)，用于來(lái)自O(shè)bject ManagementGroup?（OMG?）的以數(shù)據(jù)為中心的連接。它將系統(tǒng)組件集成在一起，提供低延遲數(shù)據(jù)連接，極高的可靠性以及業(yè)務(wù)和關(guān)鍵任務(wù)物聯(lián)網(wǎng)（IoT）應(yīng)用程序所需的可擴(kuò)展架構(gòu)。

　　OMG對(duì)象管理組織是由軟硬件廠商和用戶組成的聯(lián)合體。它一直致力于為開(kāi)放的系統(tǒng)設(shè)定標(biāo)準(zhǔn)，以使不同的軟件對(duì)象可以跨網(wǎng)絡(luò)和操作系統(tǒng)而進(jìn)行互操作。OMG工作組針對(duì)各種技術(shù)和行業(yè)制定企業(yè)集成標(biāo)準(zhǔn)，并開(kāi)發(fā)可為數(shù)千個(gè)垂直行業(yè)提供現(xiàn)實(shí)價(jià)值的技術(shù)標(biāo)準(zhǔn)。

　　CISA在報(bào)告中稱，這些問(wèn)題是在Eclipse、eProsima、GurumNetworks、Object Computing, Inc. （OCI）、Real-Time Innovations （RTI）和TwinOaks Computing等公司的設(shè)備中發(fā)現(xiàn)的。包含漏洞的設(shè)備包括CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro和CoreDX DDS。

　　CISA解釋說(shuō)：“成功利用這些漏洞可能導(dǎo)致拒絕服務(wù)或緩沖區(qū)溢出，這可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行或信息泄露。”

　　CISA提供了每家公司針對(duì)該問(wèn)題的補(bǔ)丁或修補(bǔ)程序的鏈接，但他們指出，GurumNetworks沒(méi)有回復(fù)他們的消息。CISA表示，使用GurumNetworks工具的組織應(yīng)該直接與他們聯(lián)系。

　　ABS集團(tuán)的工業(yè)網(wǎng)絡(luò)安全服務(wù)開(kāi)發(fā)主管Dennis Hackney博士告訴ZDNet，許多工業(yè)控制系統(tǒng)的所有者并沒(méi)有意識(shí)到他們的系統(tǒng)充滿了開(kāi)源軟件，就像OpenDDS一樣。

　　“原因是多方面的，但往往源于每個(gè)控制系統(tǒng)的專有和定制性質(zhì)。原始設(shè)備制造商和工程師開(kāi)發(fā)的解決方案盡可能的實(shí)用，而不增加不必要的成本。請(qǐng)注意，ICS本質(zhì)上是開(kāi)放的，”Hackney解釋道。

　　他們使用稱為OPC的連接，OPC代表過(guò)程控制的對(duì)象鏈接和嵌入（OLE），也被稱為開(kāi)放過(guò)程控制規(guī)范。開(kāi)放是指計(jì)算機(jī)和設(shè)備之間未經(jīng)認(rèn)證的通信。有越來(lái)越多的新的身份驗(yàn)證模型，但這并不能覆蓋目前運(yùn)行的大多數(shù)模型。令人擔(dān)憂的是，當(dāng)OpenDDS等組件存在漏洞時(shí)，由于ICS設(shè)計(jì)的性質(zhì)，控制訪問(wèn)和確保服務(wù)質(zhì)量的選項(xiàng)非常有限?！?/p>

　　他補(bǔ)充說(shuō)，OpenDDS漏洞是一個(gè)令人擔(dān)憂的問(wèn)題，因?yàn)檫@些應(yīng)用程序是基于訂閱模式的。他說(shuō)，這些漏洞也令人擔(dān)憂，因?yàn)樗鼈兛梢员贿h(yuǎn)程利用，而且攻擊復(fù)雜性很低。

　　和CISA的通知一樣，Hackney建議受影響的組織安裝最新的更新，將系統(tǒng)與業(yè)務(wù)IT網(wǎng)絡(luò)隔離，利用防火墻，并通過(guò)vpn安全遠(yuǎn)程訪問(wèn)。

　　其他專家，如Netenrich的主要威脅狩獵者John Bambenek解釋說(shuō)，這個(gè)漏洞公告之所以引人注目，是因?yàn)樗绊懥吮姸喙?yīng)商和解決實(shí)時(shí)系統(tǒng)數(shù)據(jù)分發(fā)層的開(kāi)源解決方案。

　　通常，漏洞只影響特定的產(chǎn)品。Bambenek說(shuō)，所有相關(guān)部門(mén)都以協(xié)調(diào)一致的方式發(fā)布了最新消息，這表明CISA正在認(rèn)真履行保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和協(xié)調(diào)許多組織之間的反應(yīng)的職責(zé)。

　　”雖然CISA表示，這些漏洞還沒(méi)有發(fā)現(xiàn)已知的公共利用情況，但這一聲明肯定會(huì)促使那些攻擊者對(duì)攻擊這些系統(tǒng)感興趣，并迅速開(kāi)發(fā)它們。受影響的組織應(yīng)該在還有時(shí)間的時(shí)候盡快修補(bǔ)?！?/p>

　　延伸閱讀

　　DDS標(biāo)準(zhǔn)于2004年被OMG（Object Management Group）正式采用。它很快成為P/S標(biāo)準(zhǔn)技術(shù)，用于可靠地分發(fā)大量數(shù)據(jù)，并在雷達(dá)處理器、飛行和陸地?zé)o人機(jī)、戰(zhàn)斗管理系統(tǒng)、空中交通控制和管理、監(jiān)控控制和期權(quán)系統(tǒng)、高性能遙測(cè)、監(jiān)控和數(shù)據(jù)采集系統(tǒng)等自動(dòng)化應(yīng)用程序中提供低延遲。隨著廣泛的商業(yè)采用，DDS標(biāo)準(zhǔn)作為一項(xiàng)實(shí)時(shí)數(shù)據(jù)分發(fā)技術(shù)已被全球范圍內(nèi)各種組織采用，包括美國(guó)海軍、國(guó)防部（DoD）信息技術(shù)標(biāo)準(zhǔn)注冊(cè)處（DISR）、英國(guó)國(guó)防部（MoD）、軍用車輛協(xié)會(huì)（MILVA）和管理空中交通管制和管理標(biāo)準(zhǔn)的歐洲組織。