網路犯罪
關鍵產業所使用的Data Distribution Service (DDS) 資料分發服務通訊協定分析
Data Distribution Service (DDS) 標準是一種機器對機器的即時通訊中介協定,成千上萬的系統每天都必須靠它來運作。
下載「Data Distribution Service (DDS) 通訊協定的資安分析」(A Security Analysis of the Data Distribution Service [DDS] Protocol)
Data Distribution Service (DDS) 標準是一種機器對機器的即時通訊中介協定,成千上萬的系統每天都必須靠它來運作。這項技術確保了醫療、鐵路、自動化系統、機器人、太空船,以及軍事裝備等等公共與私人裝置之間的互通性與容錯性。隨著嵌入式系統與應用程式對即時性的要求增加,此協定的應用也越來越廣。
趨勢科技的研究報告「Data Distribution Service (DDS) 通訊協定的資安分析」(A Security Analysis of the Data Distribution Service [DDS] Protocol) 分析了在產業供應鏈扮演關鍵軟體元件的 DDS 目前的資安現況。這份研究在 6 套常見的 DDS 實作當中找到了 13 個新的漏洞,還有此標準本身的資安弱點。除此之外,DDS 生態系中還有一些部署方面的問題,也可能讓駭客從事其他非法活動,如資料竊取及網路間諜行動。
在研究當中,我們找出了一些可能受 DDS 通訊協定漏洞攻擊影響的關鍵產業,以及相關的應用案例,此外我們也將研究結果彙整成一份摘要,並提供了短期與長期的防範程序。
DDS 應用與受影響的產業
DDS 與即時發布/訂閱 (Real-Time Publish-Subscribe,簡稱 RTPS) 封包應用在一些營運關鍵的應用程式上,用來連接嵌入式系統,算是感測器、控制器、作動器之間一個相當可靠的通訊層。由於它位於軟體供應鏈的源頭,因此負責維護 DDS的開發人員和團隊很容易忘了它的存在,使得這個關鍵的函式庫成了駭客覬覦的目標。
電信與網路
這些領域會利用 DDS 的功能來最佳化網路設備之間的通訊,例如光學轉發器 (transponder),這是 5G 行動傳輸的基礎元件。此外,一些負責執行組態設定、設備監控以及更新部署的系統,也會使用 DDS 來建構和傳輸。目前這項服務也正在針對軟體定義網路 (SDN) 技術進行測試,以便與新一代的網路控制層整合。
虛擬化與雲端
在資料中心與虛擬化領域,DDS 涵蓋了高階的軟體應用到低階的改善。從管理虛擬化與機器單元來改善資料交換效率,到改善虛擬機器 (VM) 與運算核心之間的溝通,DDS 被視為內建或附屬整合功能的理想選擇。由於 DDS 具備多點廣播 (multicast) 探索功能,因此可用於分散式網路,建立一種以 DDS 為基礎的整合網路。
醫療
DDS 在醫療領域可用提供醫療裝置與診斷系統之間的資料互通性。在世界各國,像這樣的 DDS 應用案例包括了一些採用指揮中心軟體來處理即時需求的醫療機構,協助醫療裝置確保住院病患安全,並可整合診斷決策系統,如電腦和醫療平板。
能源
氣候變遷所衍生的挑戰使得該產業正在經歷重大的創新與變革,例如新興的工業物聯網 (IIoT) 解決方案。一些問題領域目前都在導入可用的技術來解決問題,不論公家機關或私人機構都在使用 DDS 來研發及建置發電、儲能與管理、配送與控制等相關的應用和方案。
國防
DDS 在國防領域的典型應用包括:導航系統、武器管理、指揮控制系統,以及雷達。某些機構,例如美國航空太空總署 (NASA) 發射控制系統的監控與資料擷取 (SCADA) 系統就使用了 DDS。
研究結果摘要
儘管 DDS 的使用非常廣泛,而且過去也有多份針對其資安與基礎架構的研究,但實際用到 DDS 的產業,其相關人員有很大比例都不曉得 DDS 的功能和應用。不僅如此,由於 DDS 無所不在,所以我們也在研究過程當中找到了 600 多個對外公開的 DDS 服務,遍及 34 個國家。這些暴露在外的服務分散在 100 家企業與 89 家不同的網際網路服務供應商 (ISP)。在研究 DDS 廠商時發現了 202 個對外暴露的私密 IP 位址,以及 7 個機密網址。這些 IP 位址當中,有些甚至是尚未修補或舊版的 DDS 實作,這些都包含我們在 2021 年 11 月發現並揭露的漏洞當中。
Data Distribution Service (DDS) 通訊協定的資安分析
防範與最佳實務原則
從以上這些產業以及一些關鍵產業供應鏈使用 DDS 的情況來看,系統修補有時並不容易,甚至可能做不到。就短期而言,我們建議企業除非必要,否則千萬別讓 DDS 端點暴露在外,如果必須暴露在外,那就應該採取一些 DDS 防護措施。務必採用可部署更新和規則來偵測惡意封包的防護產品,以及可偵測異常檔案的端點解決方案。但長期而言,我們建議制訂一些供應鏈管理流程來確實追蹤、監控並自動化測試 DDS 函式庫這類關鍵元件的資安。
如需有關我們研究的更多詳細內容,請下載並參閱這份完整報告「Data Distribution Service (DDS) 通訊協定的資安分析」(A Security Analysis of the Data Distribution Service [DDS] Protocol)。
◾原文出處:Analyzing the Data Distribution Service (DDS) Protocol for Critical Industries