信息化觀察網(wǎng)

以色列網(wǎng)絡(luò)安全公司JSOF周二警告說(shuō)，由于嚴(yán)重安全漏洞影響了Treck TCP/IP堆棧，全球數(shù)億臺(tái)（甚至更多）IoT設(shè)備可能會(huì)受到遠(yuǎn)程攻擊。這一漏洞影響各行各業(yè)，波及家用/消費(fèi)設(shè)備、醫(yī)療保健、數(shù)據(jù)中心、企業(yè)、電信、石油、天然氣、核能、交通運(yùn)輸以及許多其他關(guān)鍵基礎(chǔ)架構(gòu)。

Treck TCP / IP是專門(mén)為嵌入式系統(tǒng)設(shè)計(jì)的高性能TCP / IP協(xié)議套件。JSOF研究人員發(fā)現(xiàn)該產(chǎn)品共有19個(gè)0day漏洞，影響Treck網(wǎng)絡(luò)協(xié)議的專有實(shí)現(xiàn)，因在2020年報(bào)道出來(lái)，所以將這一系列漏洞統(tǒng)稱為“Ripple20”。JSOF是一家專門(mén)從事物聯(lián)網(wǎng)和嵌入式設(shè)備安全的公司。

嵌入式TCP / IP庫(kù)中存在嚴(yán)重漏洞意味著什么？

全球數(shù)十億臺(tái)聯(lián)網(wǎng)設(shè)備，從打印機(jī)和IP攝像機(jī)等消費(fèi)類產(chǎn)品到跨組織使用的專用設(shè)備，例如視頻會(huì)議系統(tǒng)和工業(yè)控制系統(tǒng)等，都面臨攻擊風(fēng)險(xiǎn)之中。

黑客可以利用其中的一些漏洞通過(guò)網(wǎng)絡(luò)遠(yuǎn)程執(zhí)行代碼展開(kāi)攻擊，或在設(shè)備中隱藏惡意代碼，可徹底損壞入侵設(shè)備，將在整個(gè)供應(yīng)鏈行業(yè)中產(chǎn)生連鎖反應(yīng)。

內(nèi)存損壞漏洞

19個(gè)漏洞都是內(nèi)存損壞問(wèn)題，源于使用不同協(xié)議（包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太網(wǎng)鏈路層）在網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包的處理錯(cuò)誤。

通用漏洞評(píng)分系統(tǒng)（CVSS）中有兩個(gè)漏洞被評(píng)為10級(jí)，這是最高的嚴(yán)重度評(píng)分。一種可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼，另一種可能導(dǎo)致越界寫(xiě)入。其他兩個(gè)漏洞的等級(jí)被評(píng)為9以上，這意味著它們也很關(guān)鍵，可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼或泄露敏感信息。

而其他15個(gè)漏洞的嚴(yán)重程度不同，CVSS評(píng)分從3.1到8.2，影響范圍從拒絕服務(wù)到潛在的遠(yuǎn)程執(zhí)行代碼。

雖然評(píng)分較低，但并不代表沒(méi)有風(fēng)險(xiǎn)，因?yàn)镃VSS分?jǐn)?shù)并不總是根據(jù)設(shè)備類型反映出實(shí)際部署的風(fēng)險(xiǎn)。例如，在關(guān)鍵基礎(chǔ)架構(gòu)或醫(yī)療保健環(huán)境中，阻止設(shè)備執(zhí)行其重要功能的拒絕服務(wù)漏洞可被視為關(guān)鍵漏洞，并可能造成災(zāi)難性后果。

部分漏洞已修復(fù)

多年來(lái)，由于代碼更改和堆?？膳渲眯裕琓reck或設(shè)備制造商已修補(bǔ)了一些Ripple20漏洞，但這些漏洞具有多種變體，所以安全風(fēng)險(xiǎn)仍然很大。

目前Treck公司通過(guò)發(fā)布6.0.1.67或更高版本的TCP / IP堆棧來(lái)修復(fù)大多數(shù)漏洞。

以下是部分漏洞詳細(xì)信息：

CVE-2020-11896（CVSS v3基本得分10.0）：在處理由未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時(shí)，對(duì)IPv4 / UDP組件中的長(zhǎng)度參數(shù)不一致的處理不當(dāng)。此漏洞可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼。

CVE-2020-11897（CVSS v3基本得分10.0）：在處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時(shí)，對(duì)IPv6組件中的長(zhǎng)度參數(shù)不一致的處理不當(dāng)。此漏洞可能導(dǎo)致越界寫(xiě)入。

CVE-2020-11898（CVSS v3基本得分9.1）：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時(shí)，對(duì)IPv4 / ICMPv4組件中的長(zhǎng)度參數(shù)不一致的處理不當(dāng)。此漏洞可能導(dǎo)致敏感信息暴露。

CVE-2020-11901（CVSS v3基本得分9.0）：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時(shí)，DNS解析器組件中的輸入驗(yàn)證不正確。此漏洞可能導(dǎo)致遠(yuǎn)程執(zhí)行代碼。

JSOF已與多家組織合作，協(xié)調(diào)漏洞披露和修補(bǔ)工作，包括CERT / CC，CISA，F(xiàn)DA，國(guó)家CERT，受影響的供應(yīng)商和其他網(wǎng)絡(luò)安全公司。

到目前為止，已經(jīng)確認(rèn)來(lái)自11個(gè)供應(yīng)商的產(chǎn)品易受攻擊，包括輸液泵、打印機(jī)、UPS系統(tǒng)、網(wǎng)絡(luò)設(shè)備、銷售點(diǎn)設(shè)備、IP攝像機(jī)、視頻會(huì)議系統(tǒng)、樓宇自動(dòng)化設(shè)備和ICS設(shè)備等。但不止于此，研究人員認(rèn)為這些漏洞可能會(huì)影響來(lái)自100多家供應(yīng)商的數(shù)億臺(tái)設(shè)備。

防范建議

為此，JSOF提出了一些減小風(fēng)險(xiǎn)的措施建議：

所有組織在部署防御措施之前都必須進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估；

以被動(dòng)“警報(bào)”模式部署防御措施。

針對(duì)設(shè)備供應(yīng)商

確定是否使用了易受攻擊的Treck堆棧

聯(lián)系Treck了解其中風(fēng)險(xiǎn);

更新到最新的Treck堆棧版本（6.0.1.67或更高版本）;

如果無(wú)法更新，請(qǐng)考慮禁用易受攻擊的功能；

針對(duì)運(yùn)營(yíng)商和網(wǎng)絡(luò)用戶（基于CERT / CC和CISA ICS-CERT建議）

將所有設(shè)備更新為補(bǔ)丁程序版本；

如果無(wú)法更新設(shè)備，則可以：1、最小化嵌入式和關(guān)鍵設(shè)備的網(wǎng)絡(luò)暴露，將暴露程度保持在最低水平，并確保除非絕對(duì)必要，否則無(wú)法從Internet訪問(wèn)設(shè)備。2、將OT網(wǎng)絡(luò)和設(shè)備隔離在防火墻后，并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離。3、僅啟用安全的遠(yuǎn)程訪問(wèn)方法。

阻止異常IP流量；

通過(guò)深度數(shù)據(jù)包檢查來(lái)阻止網(wǎng)絡(luò)攻擊，以降低Treck嵌入式啟用TCP / IP的設(shè)備的風(fēng)險(xiǎn)。

參考鏈接：

供應(yīng)鏈加劇了19個(gè)零日漏洞風(fēng)險(xiǎn)

新的Ripple20缺陷使數(shù)十億個(gè)互聯(lián)網(wǎng)連接設(shè)備面臨被黑客入侵的風(fēng)險(xiǎn)

Ripple20：Treck TCP / IP堆棧中的缺陷使數(shù)以百萬(wàn)計(jì)的IoT設(shè)備受到攻擊