了解网络安全研究人员如何发现Zephyr OS系统(物联网和嵌入式设备中使用的实时操作系统)中的漏洞,了解IP地址欺骗和拒绝服务攻击的风险以及在互联设备环境中维持强大安全措施的重要性。
Synopsys网络安全研究中心(CyRC)的网络安全研究人员发现了Zephyr OS系统网络堆栈中的漏洞,这些漏洞可能导致连接的设备容易受到IP欺骗(或IP地址欺骗)攻击。
Zephyr OS系统是物联网(IoT)和嵌入式设备中广泛使用的实时操作系统,拥有广泛的可定制性以及与多种架构和板卡的广泛兼容性,可满足不同的应用需求。
Zephyr OS系统的主要功能之一是其内置网络堆栈,它支持各种网络协议,包括IPv4和IPv6。这种灵活性使开发人员能够创建能够跨不同网络无缝通信的连接设备。
然而,CyRC发现了Zephyr OS系统实施中的一个缺陷,特别是在处理IP地址欺骗攻击方面。IP地址欺骗涉及使用伪造的源IP地址创建IP数据包,通常具有恶意目的,欺骗收件人相信它们来自合法来源。
该漏洞源于Zephyr OS系统未能丢弃来自源地址等于本地主机或目标地址的外部接口的IP数据包,这违反了建议的安全实践。因此,发送回虚假源IP地址的响应绕过了基于主机端IP地址的访问控制,可能导致未经授权的访问或数据操纵。
此外,该缺陷还会使设备遭受拒绝服务攻击(DoS攻击),因为环回接口处理的响应可能会淹没系统,从而导致不稳定或崩溃。该漏洞与最近发现的循环DoS攻击具有类似的作案手法,其中利用IP欺骗,使设备容易受到拒绝服务(DoS)攻击。
受影响的版本包括Zephyr OS v.3.5、v.3.4和2.7(LTS v2),以及支持IPv6或IPv4的其他版本。但是,补丁已集成到主分支和特定版本分支中以缓解这些漏洞。
根据CyRC的博客文章,这些漏洞的发现归功于该公司的高级软件工程师Kari Hulkko,他将Defensics®模糊测试工具与IPv4和IPv6协议测试套件结合使用。针对此次披露,Synopsys承认Zephyr OS系统团队在解决这些漏洞方面的协作和响应能力。
围绕漏洞披露和解决的事件时间表凸显了网络安全研究人员和软件维护人员为确保由Zephyr OS系统提供支持的连接设备的安全性和完整性而付出的协作努力。
随着物联网和嵌入式设备数量不断增长,必须优先考虑强有力的安全措施,以防御Zephyr OS系统等操作系统中发现的威胁和漏洞。
评论已关闭。