Ripple200day漏洞曝光,全球各行各业数以亿计的互联设备将被远程攻击。此漏洞影响广泛的行业,影响家庭/消费设备、医疗保健、数据中心、企业、电信、石油、天然气、核能、交通和许多其他关键基础设施。TreckTCP/IP是专为嵌入式系统设计的高性能TCP/IP协议族。JSOF研究人员在产品中共发现19个0day漏洞,这些漏洞影响了Treck网络协议的专有实现。由于它们是在2020年报告的,因此这一系列漏洞被统称为“Ripple20”。JSOF是一家专注于物联网和嵌入式设备安全的公司。嵌入式TCP/IP库中的严重漏洞意味着什么?全球有数十亿台联网设备,从打印机和IP摄像机等消费产品到视频会议系统和工业控制系统等组织间使用的专用设备,都面临受到攻击的风险。黑客可以利用其中的一些漏洞,通过网络远程执行代码发起攻击,或者将恶意代码隐藏在设备中,可以彻底破坏被入侵的设备,这将在整个供应链行业产生连锁反应。内存损坏漏洞所有19个漏洞都是内存损坏问题,这些问题源自使用不同协议(包括IPv4、ICMPv4、IPv6、IPv6OverIPv4、TCP、UDP、ARP、DHCP、DNS或以太网链路层处理错误)通过网络发送的数据包。两个漏洞在通用漏洞评分系统(CVSS)中被评为10级,严重程度最高。一个可能导致远程代码执行,另一个可能导致越界写入。另外两个漏洞的评级在9以上,这意味着它们也很严重,可能导致远程代码执行或敏感信息泄露。其他15个漏洞的严重程度各不相同,CVSS评分从3.1到8.2不等,影响从拒绝服务到潜在的远程代码执行不等。低分并不意味着没有风险,因为CVSS分数并不总是反映基于设备类型的实际部署风险。例如,在关键基础设施或医疗保健环境中,阻止设备执行其重要功能的拒绝服务漏洞可被视为具有潜在灾难性后果的严重漏洞。部分漏洞已修复由于代码更改和堆栈可配置性,Treck或设备制造商多年来已经修补了一些Ripple20漏洞,但这些漏洞有多个变体,因此安全风险仍然很大。Treck目前通过发布6.0.1.67或更高版本的TCP/IP堆栈修复了大部分漏洞。以下是部分漏洞详情:CVE-2020-11896(CVSSv3BaseScore10.0):在处理未经授权的网络攻击者发送的数据包时,对IPv4/UDP组件中长度参数不一致的处理不当。此漏洞可能导致远程代码执行。CVE-2020-11897(CVSSv3基本分数10.0):在处理未经授权的网络攻击者发送的数据包时,对IPv6组件中长度参数不一致的处理不当。此漏洞可能导致越界写入。CVE-2020-11898(CVSSv3基本分数9.1):在处理未经授权的网络攻击者发送的数据包时,对IPv4/ICMPv4组件中长度参数不一致的处理不当。此漏洞可能导致敏感信息泄露。CVE-2020-11901(CVSSv3BaseScore9.0):在处理未经授权的网络攻击者发送的数据包时,DNS解析器组件中的输入验证不正确。此漏洞可能导致远程代码执行。JSOF与多个组织合作,协调漏洞披露和修补工作,包括CERT/CC、CISA、FDA、国家CERT、受影响的供应商和其他网络安全公司。到目前为止,已有11家供应商的产品被确定为易受攻击的产品,包括输液泵、打印机、UPS系统、网络设备、销售点设备、IP摄像机、视频会议系统、楼宇自动化设备和ICS设备等。但不仅如此,研究人员认为这些缺陷可能会影响来自100多家供应商的数亿台设备。预防建议为此,JSOF提出了一些降低风险的措施:所有组织必须在部署防御措施之前进行全面的风险评估;以被动的“警报”模式部署防御措施。对于设备供应商:确定是否正在使用易受攻击的Treck堆栈联系Treck以了解风险;更新到最新的Treck堆栈版本(6.0.1.67或更高版本);如果无法更新,请考虑禁用易受攻击的功能;对于运营商和网络用户(基于CERT/CC和CISAICS-CERT建议):将所有设备更新为补丁版本;如果无法更新设备,您可以:1.尽量减少嵌入式和关键设备的网络暴露,将暴露保持在最低限度,并确保除非绝对必要,否则无法从Internet访问设备。2.隔离防火墙后的OT网络和设备,与业务网络隔离。3.只启用安全的远程访问方法。拦截异常IP流量;通过深度数据包检测来阻止网络攻击,以降低Treck嵌入式TCP/IP设备的风险。
