网络安全公司 Forescout 近日发文称，150多家供应商产品固件中使用的四个开源TCP/IP库存在33个安全漏洞（代号AMNESIA:33），超过100万个智能设备和工业互联网产品受到影响。

这些漏洞会导致内存损坏，这可能使攻击者能够破坏设备，执行恶意代码，窃取敏感信息以及执行拒绝服务攻击。

受影响的设备非常广泛，且大多数都是面向普通消费者的设备，从简单的智能插头、摄像机、办公路由器到工业控制系统组件和医疗保健设备等等。

由于TCP / IP堆栈非常基础，并且涉及Internet和其他网络连接，因此该漏洞可能将大量信息暴露给攻击者，并且可以被用作渗透到公司或工业网络的垫脚石。

开源 TCP/IP 库

TCP/IP代表传输控制协议/ Internet协议。它专门设计为一种模型，可通过不可靠的网络提供高度可靠且端到端的字节流。

在物联网设备中，TCP/IP网络协议栈是一个非常重要的软件组成部分，没有TCP/IP网络协议栈，物联网设备就无法连接到互联网中。

本次受到影响的4个协议为：picoTCP、FNET、uIP、Nut/Net。

漏洞修复困难重重

Forescout表示，AMNESIA:33影响多个开源的TCP/IP栈，而不是由一家公司拥有，这意味着单个漏洞容易在多个代码库、开发团队、公司和产品之间传播，而且某些易受攻击的代码已经使用了二十年。这对补丁管理提出了重大挑战。

在缓解方面，研究人员建议采取各种措施保护网络免受攻击，例如：在不必要时禁用或阻止IPv6流量；将设备配置为尽可能依赖内部DNS服务器；并监视所有网络流量，以查找试图利用已知缺陷的错误数据包。

尽管有被黑客利用的可能，但是美国网络安全与基础设施安全局（CISA）指出目前并没有证据表明有黑客利用这些漏洞对用户发起攻击。