AusCERT 2013：嵌入式系统供应商对安全缺陷不闻不问

ZDNET安全频道 05月23日 综合消息：总有些美好愿望无法成真，互联网安全无疑是其中之一。但这项愿望难于实现的根本原因在于，消费级套件供应商拒绝予以配合。

这是Metasploit创始人HD Moore与Rapid7公司现任首席研究官在AusCERT 2013安全大会上的陈述后得出的结论。

Moore向与会代表们表示，尽管系统管理员可能确实在系统保护工作中尽到了职责(实际上很多管理员都没有做到，使用默认密码等危险情况时有发生)，但风险仍然会借由调制解调器、路由器、手机等设备疯狂肆虐，因为这些嵌入式系统供应商对安全问题往往不加理会。

“在一眨眼间，你就有可能把整个互联网的百分之五掌握在手中，”Moore指出。

Moore并没有具体谈论他的研究方法，而是直接给出了IPv4地址空间的大规模扫描结果，并着眼于TCP与UDP服务以及由此引发的“独特”安全缺陷。

虽然将Telnet向全世界开放确实非常愚蠢，但他认为自己仍然需要把最刺耳的批评留给那些嵌入式系统制造商。这些厂商似乎乐于为世界带来这些存在安全隐患的系统，不仅坚持使用存在已知漏洞的方案，而且拒绝进行问题修复。

毋庸置疑，UPnP仍然是主要安全风险载体。“UPnP三大协议堆栈中有两套都存在漏洞，”Moore表示——他同时指出63%的移动都采用外界可见的UPnP协议。另一位隐患大户是Web服务器，其中存在大量脆弱的嵌入式SNMP系统。

说到SNMP，他谈到世界范围内有7500万套存在漏洞的系统(令人意外的是，澳大利亚最常见的漏洞系统居然是坎贝尔科学土壤数据记录工具)。他同时宣称，在所有互联网上可见的思科设备中有6%允许SNMP读取访问——这导致用户ID与密码很容易泄露出去。

嵌入式/消费级系统市场的供应链过长同样可能引发问题：嵌入式软件可能由一家供应商提供、成为另一家供应商的功能模块、被整合入第三供应商的系统方案并由第四家贴牌出售——然而没有任何一家供应商愿意保护那些甚至只有使用权的终端用户(例如电缆调制解调器)。

“我们将遇上一些非常麻烦的意外事件……并引发强烈的抵触反应”，直到那时问题才有可能得到修复，他总结道。