美國CISA11月12日發布安全公告，稱在Eclipse、eProsima、GurumNetworks、Object Computing, Inc. （OCI）、Real-Time Innovations （RTI）和TwinOaks Computing公司的設備中發現了13個漏洞或缺陷。受漏洞影響的設備包括CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro和CoreDX DDS。漏洞利用的后果包括導致拒絕服務、緩沖區溢出、遠程代碼執行或信息泄露。CISA稱目前尚未發現公開的漏洞利用，但建議管理者盡快對相關工業控制系統進行更新。

　　在發現了多個開源和專有的對象管理組織（OMG）數據分發服務（DDS）實現中的漏洞后，CISA發布了一份通知，敦促管理員對各種工業控制系統進行更新。

　　數據分發服務（DDS?）是中間件協議和API標準，用于來自Object ManagementGroup?（OMG?）的以數據為中心的連接。它將系統組件集成在一起，提供低延遲數據連接，極高的可靠性以及業務和關鍵任務物聯網（IoT）應用程序所需的可擴展架構。

　　OMG對象管理組織是由軟硬件廠商和用戶組成的聯合體。它一直致力于為開放的系統設定標準，以使不同的軟件對象可以跨網絡和操作系統而進行互操作。OMG工作組針對各種技術和行業制定企業集成標準，并開發可為數千個垂直行業提供現實價值的技術標準。

　　CISA在報告中稱，這些問題是在Eclipse、eProsima、GurumNetworks、Object Computing, Inc. （OCI）、Real-Time Innovations （RTI）和TwinOaks Computing等公司的設備中發現的。包含漏洞的設備包括CycloneDDS、FastDDS、GurumDDS、OpenDDS、Connext DDS Professional、Connext DDS Secure、Connext DDS Micro和CoreDX DDS。

　　CISA解釋說：“成功利用這些漏洞可能導致拒絕服務或緩沖區溢出，這可能導致遠程代碼執行或信息泄露。”

　　CISA提供了每家公司針對該問題的補丁或修補程序的鏈接，但他們指出，GurumNetworks沒有回復他們的消息。CISA表示，使用GurumNetworks工具的組織應該直接與他們聯系。

　　ABS集團的工業網絡安全服務開發主管Dennis Hackney博士告訴ZDNet，許多工業控制系統的所有者并沒有意識到他們的系統充滿了開源軟件，就像OpenDDS一樣。

　　“原因是多方面的，但往往源于每個控制系統的專有和定制性質。原始設備制造商和工程師開發的解決方案盡可能的實用，而不增加不必要的成本。請注意，ICS本質上是開放的，”Hackney解釋道。

　　他們使用稱為OPC的連接，OPC代表過程控制的對象鏈接和嵌入（OLE），也被稱為開放過程控制規范。開放是指計算機和設備之間未經認證的通信。有越來越多的新的身份驗證模型，但這并不能覆蓋目前運行的大多數模型。令人擔憂的是，當OpenDDS等組件存在漏洞時，由于ICS設計的性質，控制訪問和確保服務質量的選項非常有限。“

　　他補充說，OpenDDS漏洞是一個令人擔憂的問題，因為這些應用程序是基于訂閱模式的。他說，這些漏洞也令人擔憂，因為它們可以被遠程利用，而且攻擊復雜性很低。

　　和CISA的通知一樣，Hackney建議受影響的組織安裝最新的更新，將系統與業務IT網絡隔離，利用防火墻，并通過vpn安全遠程訪問。

　　其他專家，如Netenrich的主要威脅狩獵者John Bambenek解釋說，這個漏洞公告之所以引人注目，是因為它影響了眾多供應商和解決實時系統數據分發層的開源解決方案。

　　通常，漏洞只影響特定的產品。Bambenek說，所有相關部門都以協調一致的方式發布了最新消息，這表明CISA正在認真履行保護關鍵基礎設施和協調許多組織之間的反應的職責。

　　”雖然CISA表示，這些漏洞還沒有發現已知的公共利用情況，但這一聲明肯定會促使那些攻擊者對攻擊這些系統感興趣，并迅速開發它們。受影響的組織應該在還有時間的時候盡快修補。“

　　延伸閱讀

　　DDS標準于2004年被OMG（Object Management Group）正式采用。它很快成為P/S標準技術，用于可靠地分發大量數據，并在雷達處理器、飛行和陸地無人機、戰斗管理系統、空中交通控制和管理、監控控制和期權系統、高性能遙測、監控和數據采集系統等自動化應用程序中提供低延遲。隨著廣泛的商業采用，DDS標準作為一項實時數據分發技術已被全球范圍內各種組織采用，包括美國海軍、國防部（DoD）信息技術標準注冊處（DISR）、英國國防部（MoD）、軍用車輛協會（MILVA）和管理空中交通管制和管理標準的歐洲組織。