NASA、西门子和大众都在用的 IoT 协议可遭滥用
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员表示,应用广泛的数据分发服务 (DDS) 协议受多个漏洞影响,可导致攻击者用于实施多种目的。
DDS 是由标准开发组织机构 Object Management Group (OMG) 维护的,用于数据连接的中间件协议和API 标准,是业务关键 IoT 系统的理想之选。DDS 一直用于多种行业中如公共交通、空中交通管理、航天航空、自动化驾驶、工业机器人、医疗设备和导弹以及其它军事系统。
很多组织机构如美国航天局 (NASA)、西门子和大众和流行的机器人操作系统 (ROS) 都在使用 DDS。DDS 的实现分开源和闭源实现两种,用于多种组织机构如 ADLINK Technology、Eclipse (CycloneDDS)、eProsima (Fast DDS)、OCI (OpenDDS)、TwinOaks Computing (CoreDX DDS)、Gurum Networks (GurumDDS) 和 RTI (Connext DDS)。
趋势科技、TXOne Networks、Alias Robotics 和 ADLINK Technology 公司的研究人员分析了该 DDS 标准和之前提到的实现后发现了十多个漏洞。研究人员在2021年欧洲黑帽大会上发布了一些研究成果,并表示将在2022年发布研究论文。
同时,美国网络安全和基础设施安全局 (CISA) 发布了一份和该研究相关的工控系统 (ICS) 安全公告称,“CISA 发布这份安全报告,提前通知所报告漏洞并找到降低此类以及其它网络安全攻击的基准缓解措施。“
CISA 表示,已经为 CycloneDDS、FastDDS、OpenDDS、ConnextDDS 和 CoreDX DDS 发布补丁,不过Gurum似乎并未发布补丁,研究人员的通知尝试多次遭该公司忽视。
已发现的漏洞包括write-what-where 条件、不合法结构的不当处理、网络放大、缓冲区分配和缓冲区溢出漏洞。这些漏洞可用于执行任意代码、获取信息或造成拒绝服务条件。
然而,研究人员在演讲中指出,由于DDS 一般是本地部署到控制网络深处,因此攻击者可能并不会找到在互联网暴露的系统。
推荐阅读
BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备
NUCLEUS:13:西门子实时操作系统 Nucleus漏洞影响物联网设备等
【DEF CON】数十亿物联网设备受严重随机数生成器缺陷影响
详解ThroughTek P2P 供应链漏洞对数百万物联网设备的安全新风险
NAME:WRECK 漏洞影响近亿台物联网设备
原文链接
https://www.securityweek.com/iot-protocol-used-nasa-siemens-and-volkswagen-can-be-exploited-hackers
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
NASA、西门子和大众都在用的 IoT 协议可遭滥用相关推荐
- abb变频器dp适配器说明书_国产变频器与西门子和ABB的差距大吗?
从2010年汇川和英威腾的变频器进入全国市场的第10和11名开始,国产变频器取得了长足的进步.经常有小伙伴们在各个平台提问,国产变频器跟西门子.ABB的差距大吗?我们接下来就从硬件.软件和应用这几个方 ...
- 大众都在用FLBOOK平台制作有声朗读电子书
先看一段视频: QQ录屏20230719102543 怎么样?效果是不是很nice,不仅缓解疲劳,节约用眼.节省时间,还能增添很多乐趣! 想知道怎么制作吗? 我有一个方法可以供大家见解,FLBOOK大 ...
- SSO都有哪些常用的协议
SSO统一身份认证--SSO都有哪些常用的协议 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录.当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统 ...
- 你每天都在使用的 HTTP 协议,到底是什么鬼?
HTTP 可以说是互联网的一个基石,连接了你我他.我们浏览的网页,刷着的视频,玩着的游戏都离不开 HTTP 协议,而且热门的 Nginx.Apache.gRPC 等服务背后的技术也是由 HTTP 协议 ...
- 西门子和阿里云要搞啥事情?| 极客头条
戳蓝字"CSDN云计算"关注我们哦! 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 重 磅 • 西门子MindShp ...
- 智能汽车「利好」数据服务,特斯拉/英伟达/大众都在布局
硬件预埋,正在推动智能驾驶行业进入数据驱动迭代周期. 今年,英伟达在Orin进入规模上量阶段的同时,推出了Drive Map,基于精确测绘数据与匿名众包数据相结合,提供厘米级的定位精度.后者,由搭载英 ...
- 柏楚系统和倍福系统哪个好_西门子和倍福系统优劣对比-专业自动化论坛-中国工控网论坛...
本人熟悉西门子,倍福有一部分了解,大致说一下: 1,品牌 西门子的市场占有率要高一些,但在一些特殊行业应用,倍福也非常好,比如在风电控制.懂西门子的人要多于懂倍福的,支持更容易找到. 2,硬件 西门子 ...
- 从在浏览器地址栏中输入www.baidu.com到看到百度首页,这个过程中间经历了什么?都涉及到哪些网络协议?
按照时间顺序: 1.客户端浏览器获取用户在地址栏输入的域名. 2.客户端浏览器将域名发送给DNS域名系统,请求解析. 3.DNS解析域名得到相应的IP,返回给客户端浏览器. 4.客户端浏览器根据IP向 ...
- 常见应用层协议都是基于什么运输层协议的
TCP:HTTP,FTP,SMTP,TENET,POP3,Finger,NNTP,IMAP4, UDP:BOOTP,DHCP,NTP,TFTP,SNMP DNS可以基于UDP也可以基于TCP
最新文章
- 少儿编程python教材_少儿编程|Python环境安装
- ThinkPHP的安装
- 指针的运用与strcpy函数的优化
- easyui treegrid php,easyUI TreeGrid
- 39.左值、左值引用、右值、右值引用
- 记录webpack的source map使用详细说明
- android jar 加密
- 【struts2】预定义拦截器
- 我寫的JAVA記事本源程序
- 移除string的最后一个字符几种方法
- JellyViewPager
- C++对象在内存中的布局
- 解决360 安装补丁智能忽略的问题!
- pc连接用hybrid,并untagged,交换机用trunk
- 如何编辑PDF文件?分享几种编辑PDF文件方法
- 适用于Android的最佳本地音乐播放器
- 使用Arduino,DHT11和IR Blaster的自动交流温度控制器
- bcd转ascii码 流程图_BCD码到ASCII码转换实例
- Google Play如何做ASO优化?影响搜索排名的主要因素.
- 1.2 pyenv使用
热门文章
- BZOJ1251序列终结者——非旋转treap
- Android零基础入门第68节:完善RecyclerView,添加首尾视图
- Linux下文件的打包、解压缩指令——tar,gzip,bzip2,unzip,rar
- SVN环境搭建详解(来源网络)
- 给Android SDK设置环境变量
- Uninstalling ASP.NET MVC 1.1 after installing Visual Studio 2010 beta 2
- error: failed to launch '/private/var/mobile/Applications/** busy解决办法
- 自动化测试框架搭建三python环境安装selenium和手动下载安装selenium的方法
- Docker虚拟机理论
- Linux 局域网路由新手指南:第 2 部分