企業(yè)設(shè)備安全公司Forescout與其他企業(yè)合作進(jìn)行了名為Project Memoria的調(diào)查研究，發(fā)現(xiàn)了Ripple20、AMNESIA:33、NUMBER:JACK、NAME:WRECK、INFRA:HALT和NUCLEUS:13等多個(gè)漏洞。

　　TCP/IP協(xié)議棧廣為各種通信設(shè)備所用，深度融入媒體產(chǎn)品、工業(yè)控制系統(tǒng)（ICS）、打印機(jī)、交換機(jī)等設(shè)備。

　　研究人員在14個(gè)TCP/IP協(xié)議棧中發(fā)現(xiàn)了總共97個(gè)漏洞，涉及遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)（DoS）攻擊和敏感信息獲取等方面。這些漏洞影響成百上千種產(chǎn)品，研究人員估計(jì)大約造成30億臺(tái)設(shè)備容易遭到惡意黑客攻擊。

　　Project Memoria調(diào)查研究了15個(gè)TCP/IP協(xié)議棧，包括CycloneTCP、FNET、FreeBSD、IPnet、lwIP、MPLAB Net、NetX、NicheStack、NDKTCPIP、Nucleus NET、Nut/Net、picoTCP、Treck、uC/TCP-IP和uIP，其中僅IwIP中未發(fā)現(xiàn)漏洞。

　　這些TCP/IP協(xié)議棧中有些已經(jīng)接近30高齡，但仍不斷更新。盡管協(xié)議開(kāi)發(fā)者仍在發(fā)布漏洞補(bǔ)丁，這些補(bǔ)丁卻往往未能安裝到最終用戶(hù)的設(shè)備上。研究人員認(rèn)為，這種現(xiàn)象很大程度上歸咎于所謂的“無(wú)聲修復(fù)”，即，一些開(kāi)發(fā)人員修復(fù)漏洞時(shí)未分配CVE標(biāo)識(shí)，導(dǎo)致設(shè)備供應(yīng)商及其客戶(hù)對(duì)這些漏洞一無(wú)所知。

　　Forescout在Project Memoria總結(jié)報(bào)告中寫(xiě)道：“[無(wú)聲修復(fù)的漏洞]存在于非常關(guān)鍵的供應(yīng)鏈軟件中，所以有數(shù)百萬(wàn)設(shè)備長(zhǎng)期處于容易遭入侵的狀態(tài)，甚至其供應(yīng)商都因?yàn)槠渌?yīng)商選擇保持沉默而對(duì)此一無(wú)所知。無(wú)聲修復(fù)漏洞并不意味著真沒(méi)人知道：這些漏洞會(huì)被人一次又一次重新翻找出來(lái)。”

　　無(wú)聲修復(fù)顯然問(wèn)題多多，卻仍有部分供應(yīng)商即使收到漏洞通告也疏于采取行動(dòng)堵住漏洞。Forescout發(fā)現(xiàn)422家設(shè)備供應(yīng)商的產(chǎn)品存在漏洞。不過(guò)，其中僅81家發(fā)布了漏洞咨詢(xún)，而在已證實(shí)受漏洞影響的36家設(shè)備供應(yīng)商中，就有10家表示不會(huì)提供補(bǔ)丁。

　　Forescout稱(chēng)：“這意味著，可能受影響的供應(yīng)商中，僅19%提供了一些公開(kāi)回應(yīng)，僅5.5%切實(shí)修復(fù)了漏洞。”

　　分析了受Project Memoria所發(fā)現(xiàn)漏洞影響的25萬(wàn)臺(tái)設(shè)備后，研究人員發(fā)現(xiàn)，政府和醫(yī)療行業(yè)的系統(tǒng)存在的漏洞數(shù)量最多，其次是制造業(yè)、零售行業(yè)和金融行業(yè)。

　　打印機(jī)、網(wǎng)絡(luò)語(yǔ)音通話(huà)產(chǎn)品、工業(yè)控制器、存儲(chǔ)系統(tǒng)和網(wǎng)絡(luò)設(shè)備是最常見(jiàn)的幾種易受漏洞影響的設(shè)備類(lèi)型。以醫(yī)療保健企業(yè)為例，注射泵和樓宇自動(dòng)化系統(tǒng)就常常暗含漏洞。

　　Forescout總結(jié)道：“Project Memoria的主要研究結(jié)論是，供應(yīng)鏈漏洞不會(huì)消失，但可以努力緩解，只要安全社區(qū)和各家企業(yè)采取行動(dòng)的話(huà)。”