IT资讯

NEWS information

关于 Ripple20漏洞

2020-07-03

  

总部位于辛辛那提(Cincinnati)的软件公司Treck1997年推出了一个小型库,在过去二十多年中被广泛使用,并集成到无数企业级和消费级产品中。不过今天,网络安全专家披露了存在于该小型库中的19个漏洞,统称为Ripple20

以色列网络安全公司JSOF周二警告说,由于严重安全漏洞影响了TreckTCP/IP堆栈,全球数亿台(甚至更多)IoT设备可能会受到远程攻击。这一漏洞影响各行各业,波及家用/消费设备、医疗保健、数据中心、企业、电信、石油、天然气、核能、交通运输以及许多其他关键基础架构。

TreckTCP/IP是专门为嵌入式系统设计的高性能TCP/IP协议套件。JSOF研究人员发现该产品共有190day漏洞,影响Treck网络协议的专有实现,因在2020年报道出来,所以将这一系列漏洞统称为“Ripple20”。JSOF是一家专门从事物联网和嵌入式设备安全的公司。

嵌入式TCP/IP库中存在严重漏洞意味着什么?全球数十亿台联网设备,从打印机和IP摄像机等消费类产品到跨组织使用的专用设备,例如视频会议系统和工业控制系统等,都面临攻击风险之中。

目前确认受影响的厂商为:       

        Aruba Networks  HCL Tech      Zuken Elmic  B.Braun  HP   Baxter     HPE        CareStream   Intel Caterpillar       Maxlinear      Cisco      Opto22  DellRockwell Automation  Digi International  Schneider     Electric/APC       Eaton     Teradici  Green Hills Software   Xeroex

        详细的设备型号还需要进一步确认。

黑客可以利用其中的一些漏洞通过网络远程执行代码展开攻击,或在设备中隐藏恶意代码,可彻底损坏入侵设备,将在整个供应链行业中产生连锁反应。

内存损坏漏洞

19个漏洞都是内存损坏问题,源于使用不同协议(包括IPv4ICMPv4IPv6IPv6OverIPv4TCPUDPARPDHCPDNS或以太网链路层)在网络上发送的数据包的处理错误。

通用漏洞评分系统(CVSS)中有两个漏洞被评为10级,这是最高的严重度评分。一种可能导致远程执行代码,另一种可能导致越界写入。其他两个漏洞的等级被评为9以上,这意味着它们也很关键,可能导致远程执行代码或泄露敏感信息。

而其他15个漏洞的严重程度不同,CVSS评分从3.18.2,影响范围从拒绝服务到潜在的远程执行代码。虽然评分较低,但并不代表没有风险,因为CVSS分数并不总是根据设备类型反映出实际部署的风险。例如,在关键基础架构或医疗保健环境中,阻止设备执行其重要功能的拒绝服务漏洞可被视为关键漏洞,并可能造成灾难性后果。

部分漏洞已修复

多年来,由于代码更改和堆栈可配置性,Treck或设备制造商已修补了一些Ripple20漏洞,但这些漏洞具有多种变体,所以安全风险仍然很大。

目前Treck公司通过发布6.0.1.67或更高版本的TCP/IP堆栈来修复大多数漏洞。

以下是部分漏洞详细信息:

CVE-2020-11896CVSSv3基本得分10.0):在处理由未经授权的网络攻击者发送的数据包时,对IPv4/UDP组件中的长度参数不一致的处理不当。此漏洞可能导致远程执行代码。

CVE-2020-11897CVSSv3基本得分10.0):在处理未经授权的网络攻击者发送的数据包时,对IPv6组件中的长度参数不一致的处理不当。此漏洞可能导致越界写入。

CVE-2020-11898CVSSv3基本得分9.1):处理未经授权的网络攻击者发送的数据包时,对IPv4/ICMPv4组件中的长度参数不一致的处理不当。此漏洞可能导致敏感信息暴露。

CVE-2020-11901CVSSv3基本得分9.0):处理未经授权的网络攻击者发送的数据包时,DNS解析器组件中的输入验证不正确。此漏洞可能导致远程执行代码。

JSOF已与多家组织合作,协调漏洞披露和修补工作,包括CERT/CCCISAFDA,国家CERT,受影响的供应商和其他网络安全公司。

到目前为止,已经确认来自11个供应商的产品易受攻击,包括输液泵、打印机、UPS系统、网络设备、销售点设备、IP摄像机、视频会议系统、楼宇自动化设备和ICS设备等。但不止于此,研究人员认为这些漏洞可能会影响来自100多家供应商的数亿台设备。

漏洞详情分析

1)         该系列漏洞并非广义的TCP/IP协议的漏洞;其危害不针对整个互联网。

2)         目前已公布的受影响的设备均为IoT设备,在PC设备领域没有发现受到影响的设备。

3)         该系列漏洞存在于treck公司开发的TCP/IP底层库实现中。

4)         根据Ripple20报告,该系列漏洞最高的危害是堆溢出造成远程命令执行。

5)         目前暂未统计出受影响的所有设备列表。

6)         远程命令执行需要构造复杂的系列数据包,利用难度非常高。

7)         需要满足特定条件才可触发漏洞。

安全人士指出,Ripple20漏洞的影响预计与20197月披露的Urgent/11漏洞类似,后者至今仍在调查中,业界至今仍在定期发现并修补新的漏洞设备。Urgent/11漏洞影响了VxWorks实时操作系统的TCP/IPIPnet)网络堆栈,该系统是IoT和工业领域中广泛使用的另一种产品。Ripple20漏洞的修补进程可以参考Urgent/11,后者至今仍有很多产品未能修复补丁(因为产品报废、供应商停止运营、设备无法停机等原因)。

Treck本周一已经发布了补丁,供OEM使用最新的Treck堆栈版本(6.0.1.67或更高版本)。现在的主要安全挑战是如何让如此多的企业尽快修复漏洞。除了ICSCERTCERTCCJPCERT/CC的建议之外,英特尔和惠普也发布了警报。

JSOF分析师称:

尽管最好的方法是安装原始的Treck补丁,但在许多情况下无法安装原始补丁。因此,CERT仍在努力开发可用于最小化或有效消除Ripple20风险的替代方法。

Knudsen补充说,这属于供应链问题,因此很多受影响的产品应该能够进行自我更新,但是在IoT和工业控制领域,并非总是如此。

对于无法安装补丁程序的用户,CERT/CCCISAICS-CERT建议:

如果无法修补设备,则管理员应最大程度地减少嵌入式设备和关键设备的网络暴露,确保除非绝对必要,不应允许从互联网访问设备。此外,工控运营网络和设备应隔离在防火墙之后,并与任何业务网络隔离。

用户还可以采取措施阻止异常IP流量,采用抢占式流量过滤,通过安全的递归服务器或DNS检查防火墙对DNS进行标准化,或提供具有DHCP侦听等功能的DHCP/DHCPv6安全性。

研究人员总结说:

软件库传播广泛,对其进行跟踪一直是一个重大挑战。当我们追踪TreckTCP/IP库的分布轨迹时,我们发现在过去的二十年中,这种基本的网络软件已经遍及全球。作为传播媒介,复杂的供应链提供了理想的攻击渠道,使原始漏洞几乎可以无休止地渗透和伪装。

Synopsys的高级安全策略师JonathanKnudsen指出:

首先,安全必须集成到软件开发的每个部分:从设计过程中的威胁建模到实施过程中的自动化安全测试,软件开发的每个阶段都必须融入安全性。第二,开发软件的组织必须管理其第三方组件。Ripple20漏洞产生深远影响的主要原因是,它们是许多组织在许多产品中广泛使用的网络组件中的漏洞。每个软件开发组织必须了解他们正在使用的第三方组件,以最大程度地降低它们所代表的风险。

最后,让人担忧的是,存在漏洞的软件库不仅由设备供应商直接使用,而且还集成到大量其他软件套件中,这意味着许多公司甚至都不知道他们正在使用存在漏洞的代码。

防范建议

JSOF提出了一些减小风险的措施建议:

所有组织在部署防御措施之前都必须进行全面的风险评估;

以被动“警报”模式部署防御措施。

针对设备供应商

确定是否使用了易受攻击的Treck堆栈

联系Treck了解其中风险;

更新到最新的Treck堆栈版本(6.0.1.67或更高版本);

如果无法更新,请考虑禁用易受攻击的功能;

针对运营商和网络用户(基于CERT/CCCISAICS-CERT建议)

将所有设备更新为补丁程序版本;

如果无法更新设备,则可以:

1、最小化嵌入式和关键设备的网络暴露,将暴露程度保持在最低水平,并确保除非绝对必要,否则无法从Internet访问设备。

2、将OT网络和设备隔离在防火墙后,并将其与业务网络隔离。

3、仅启用安全的远程访问方法。

4、阻止异常IP流量;

5、通过深度数据包检查来阻止网络攻击,以降低Treck嵌入式启用TCP/IP的设备的风险。

处置建议

仍在使用设备时,Ripple20构成重大风险。潜在的风险场景包括:

如果面向互联网,则来自网络外部的攻击者将控制网络中的设备;

已经设法渗透到网络的攻击者可以使用库漏洞来针对网络中的特定设备;

攻击者可以广播能够同时接管网络中所有受影响设备的攻击;

攻击者可能利用受影响的设备隐藏在内网中;

复杂的攻击者可能会从网络边界外部对网络内的设备进行攻击,从而绕过任何NAT配置。这可以通过执行MITM攻击或dns缓存中毒来完成;

在某些情况下,攻击者可能能够通过响应离开网络边界的数据包,绕过NAT,从网络外部执行攻击;

在所有情况下,攻击者都可以远程控制目标设备,而无需用户干预。

JSOF建议采取措施以最小化或减轻设备开发的风险。设备供应商将采用与网络运营商不同的方法。通常,我们建议执行以下步骤:

所有组织在部署防御措施之前都必须进行全面的风险评估。建议部署防御措施。

设备供应商的缓解措施:

1.         定您是否使用了易受攻击的Treck堆栈;

2.         联系Treck了解风险;

3.         更新到最新的Treck堆栈版本(6.0.1.67或更高版本);

4.         如果无法更新,请考虑禁用易受攻击的功能。

对运营商和网络的缓解:(基于CERT/CCCISAICS-CERT咨询)

1.          将所有设备更新到最新版本;

2.         如果无法更新设备,建议执行以下步骤:

1)最大限度地减少嵌入式和关键设备的网络暴露,并确保无法从Internet访问;

2)定位防火墙防护的OT网络和设备,并将其与业务网络隔离;

3)仅启用安全的远程访问方法,建议使用虚拟专用网络(VPN)。

3.         阻止异常IP流量;

4.         通过深度数据包检查来阻止网络攻击,以降低Treck嵌入式启用TCP/IP的设备的风险。

抢占式流量过滤是一种有效的技术,可以适当地应用于您的网络环境。过滤选项包括:

1.          如果您的环境不支持,则规范化或阻止IP段;

2.         如果不需要,请禁用或阻止IP隧道(IPv6-in-IPv4IP-in-IP隧道);

3.         阻止IP源路由以及所有不赞成使用IPv6的功能,例如路由标头VU267289

4.         强制执行TCP检查,拒绝格式错误的TCP数据包;

5.         阻止未使用的ICMP控制消息,例如MTU更新和地址掩码更新;

6.         通过安全的递归服务器或DNS检查防火墙规范DNS

7.         提供DHCP/DHCPv6安全性,并具有DHCP监听等功能;

8.         如果未在交换基础架构中使用,请禁用/阻止IPv6多播功能;

9.         在可以使用静态IP的地方禁用DHCP

10.      使用网络IDSIPS签名;

11.      如果可用,请划分网络。

临时修补建议:

1.         部署网络扫描安全监测平台,对内部网络进行扫描监测,对披露的相关品牌资产进行识别,监测暴露的端口、协议接口等敏感信息。

2.          部署网络流量分析设备,进行深度数据包检查,与网络设备联动丢弃错误的数据包。

3.          部署IDS/IPS,对内部数据包进行签名,拒绝非法通信数据包。

设备使用商

1.       针对物联网设备,禁止IP_IN_IP的访问,即类似VPN方式的数据访问。

2.       如果使用的防护设备可以自定义规则,则可以添加如下规则:

3.       #IP-in-IPtunnelwithfragments

4.       alertipanyany->anyany(msg:"VU#257161:CVE-2020-11896FragmentsinsideIP-in-IPtunnel"; ip_proto:4;fragbits:M;rev:1;)

5.       随时关注设备厂商的软件更新公告,即时更新系统到最新版本。

6.       限制物联网设备访问权限与访问范围。

https://www.jsof-tech.com/ripple20/

https://www.jsof-tech.com/wp-content/uploads/2020/06/JSOF_Ripple20_Technical_Whitepaper_June20.pdf

https://www.ithome.com.tw/news/138395


联系电话:400-995-7585
邮      箱:wanjiawan@wanjiawan.com
邮政编码:518057
公司地址:深圳市南山高科技园区深圳虚拟大学园重点实验室平台大楼A718
Copyright © 2018 mingwan 版权所有 |备案号: 粤ICP备19037688号-2