美國CISA11月12日發(fā)布安全公告，稱在Eclipse、eProsima、GurumNetworks、Object Computing, Inc. （OCI）、Real-Time Innovations （RTI）和TwinOaks Computing公司的設備中發(fā)現(xiàn)了13個漏洞或缺陷。受漏洞影響的設備包括CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro和CoreDX DDS。漏洞利用的后果包括導致拒絕服務、緩沖區(qū)溢出、遠程代碼執(zhí)行或信息泄露。CISA稱目前尚未發(fā)現(xiàn)公開的漏洞利用，但建議管理者盡快對相關(guān)工業(yè)控制系統(tǒng)進行更新。

　　在發(fā)現(xiàn)了多個開源和專有的對象管理組織（OMG）數(shù)據(jù)分發(fā)服務（DDS）實現(xiàn)中的漏洞后，CISA發(fā)布了一份通知，敦促管理員對各種工業(yè)控制系統(tǒng)進行更新。

　　數(shù)據(jù)分發(fā)服務（DDS?）是中間件協(xié)議和API標準，用于來自Object ManagementGroup?（OMG?）的以數(shù)據(jù)為中心的連接。它將系統(tǒng)組件集成在一起，提供低延遲數(shù)據(jù)連接，極高的可靠性以及業(yè)務和關(guān)鍵任務物聯(lián)網(wǎng)（IoT）應用程序所需的可擴展架構(gòu)。

　　OMG對象管理組織是由軟硬件廠商和用戶組成的聯(lián)合體。它一直致力于為開放的系統(tǒng)設定標準，以使不同的軟件對象可以跨網(wǎng)絡和操作系統(tǒng)而進行互操作。OMG工作組針對各種技術(shù)和行業(yè)制定企業(yè)集成標準，并開發(fā)可為數(shù)千個垂直行業(yè)提供現(xiàn)實價值的技術(shù)標準。

　　CISA在報告中稱，這些問題是在Eclipse、eProsima、GurumNetworks、Object Computing, Inc. （OCI）、Real-Time Innovations （RTI）和TwinOaks Computing等公司的設備中發(fā)現(xiàn)的。包含漏洞的設備包括CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro和CoreDX DDS。

　　CISA解釋說：“成功利用這些漏洞可能導致拒絕服務或緩沖區(qū)溢出，這可能導致遠程代碼執(zhí)行或信息泄露。”

　　CISA提供了每家公司針對該問題的補丁或修補程序的鏈接，但他們指出，GurumNetworks沒有回復他們的消息。CISA表示，使用GurumNetworks工具的組織應該直接與他們聯(lián)系。

　　ABS集團的工業(yè)網(wǎng)絡安全服務開發(fā)主管Dennis Hackney博士告訴ZDNet，許多工業(yè)控制系統(tǒng)的所有者并沒有意識到他們的系統(tǒng)充滿了開源軟件，就像OpenDDS一樣。

　　“原因是多方面的，但往往源于每個控制系統(tǒng)的專有和定制性質(zhì)。原始設備制造商和工程師開發(fā)的解決方案盡可能的實用，而不增加不必要的成本。請注意，ICS本質(zhì)上是開放的，”Hackney解釋道。

　　他們使用稱為OPC的連接，OPC代表過程控制的對象鏈接和嵌入（OLE），也被稱為開放過程控制規(guī)范。開放是指計算機和設備之間未經(jīng)認證的通信。有越來越多的新的身份驗證模型，但這并不能覆蓋目前運行的大多數(shù)模型。令人擔憂的是，當OpenDDS等組件存在漏洞時，由于ICS設計的性質(zhì)，控制訪問和確保服務質(zhì)量的選項非常有限。“

　　他補充說，OpenDDS漏洞是一個令人擔憂的問題，因為這些應用程序是基于訂閱模式的。他說，這些漏洞也令人擔憂，因為它們可以被遠程利用，而且攻擊復雜性很低。

　　和CISA的通知一樣，Hackney建議受影響的組織安裝最新的更新，將系統(tǒng)與業(yè)務IT網(wǎng)絡隔離，利用防火墻，并通過vpn安全遠程訪問。

　　其他專家，如Netenrich的主要威脅狩獵者John Bambenek解釋說，這個漏洞公告之所以引人注目，是因為它影響了眾多供應商和解決實時系統(tǒng)數(shù)據(jù)分發(fā)層的開源解決方案。

　　通常，漏洞只影響特定的產(chǎn)品。Bambenek說，所有相關(guān)部門都以協(xié)調(diào)一致的方式發(fā)布了最新消息，這表明CISA正在認真履行保護關(guān)鍵基礎設施和協(xié)調(diào)許多組織之間的反應的職責。

　　”雖然CISA表示，這些漏洞還沒有發(fā)現(xiàn)已知的公共利用情況，但這一聲明肯定會促使那些攻擊者對攻擊這些系統(tǒng)感興趣，并迅速開發(fā)它們。受影響的組織應該在還有時間的時候盡快修補。“

　　延伸閱讀

　　DDS標準于2004年被OMG（Object Management Group）正式采用。它很快成為P/S標準技術(shù)，用于可靠地分發(fā)大量數(shù)據(jù)，并在雷達處理器、飛行和陸地無人機、戰(zhàn)斗管理系統(tǒng)、空中交通控制和管理、監(jiān)控控制和期權(quán)系統(tǒng)、高性能遙測、監(jiān)控和數(shù)據(jù)采集系統(tǒng)等自動化應用程序中提供低延遲。隨著廣泛的商業(yè)采用，DDS標準作為一項實時數(shù)據(jù)分發(fā)技術(shù)已被全球范圍內(nèi)各種組織采用，包括美國海軍、國防部（DoD）信息技術(shù)標準注冊處（DISR）、英國國防部（MoD）、軍用車輛協(xié)會（MILVA）和管理空中交通管制和管理標準的歐洲組織。