以色列網(wǎng)絡(luò)安全公司JSOF周二警告說，由于嚴重安全漏洞影響了Treck TCP/IP堆棧，全球數(shù)億臺(甚至更多)IoT設(shè)備可能會受到遠程攻擊。這一漏洞影響各行各業(yè)，波及家用/消費設(shè)備、醫(yī)療保健、數(shù)據(jù)中心、企業(yè)、電信、石油、天然氣、核能、交通運輸以及許多其他關(guān)鍵基礎(chǔ)架構(gòu)。

Treck TCP / IP是專門為嵌入式系統(tǒng)設(shè)計的高性能TCP / IP協(xié)議套件。JSOF研究人員發(fā)現(xiàn)該產(chǎn)品共有19個0day漏洞，影響Treck網(wǎng)絡(luò)協(xié)議的專有實現(xiàn)，因在2020年報道出來，所以將這一系列漏洞統(tǒng)稱為“Ripple20”。JSOF是一家專門從事物聯(lián)網(wǎng)和嵌入式設(shè)備安全的公司。

嵌入式TCP / IP庫中存在嚴重漏洞意味著什么?

• 全球數(shù)十億臺聯(lián)網(wǎng)設(shè)備，從打印機和IP攝像機等消費類產(chǎn)品到跨組織使用的專用設(shè)備，例如視頻會議系統(tǒng)和工業(yè)控制系統(tǒng)等，都面臨攻擊風(fēng)險之中。
• 黑客可以利用其中的一些漏洞通過網(wǎng)絡(luò)遠程執(zhí)行代碼展開攻擊，或在設(shè)備中隱藏惡意代碼，可徹底損壞入侵設(shè)備，將在整個供應(yīng)鏈行業(yè)中產(chǎn)生連鎖反應(yīng)。

內(nèi)存損壞漏洞

19個漏洞都是內(nèi)存損壞問題，源于使用不同協(xié)議(包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太網(wǎng)鏈路層)在網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包的處理錯誤。

通用漏洞評分系統(tǒng)(CVSS)中有兩個漏洞被評為10級，這是最高的嚴重度評分。一種可能導(dǎo)致遠程執(zhí)行代碼，另一種可能導(dǎo)致越界寫入。其他兩個漏洞的等級被評為9以上，這意味著它們也很關(guān)鍵，可能導(dǎo)致遠程執(zhí)行代碼或泄露敏感信息。

而其他15個漏洞的嚴重程度不同，CVSS評分從3.1到8.2，影響范圍從拒絕服務(wù)到潛在的遠程執(zhí)行代碼。

雖然評分較低，但并不代表沒有風(fēng)險，因為CVSS分數(shù)并不總是根據(jù)設(shè)備類型反映出實際部署的風(fēng)險。例如，在關(guān)鍵基礎(chǔ)架構(gòu)或醫(yī)療保健環(huán)境中，阻止設(shè)備執(zhí)行其重要功能的拒絕服務(wù)漏洞可被視為關(guān)鍵漏洞，并可能造成災(zāi)難性后果。

部分漏洞已修復(fù)

多年來，由于代碼更改和堆棧可配置性，Treck或設(shè)備制造商已修補了一些Ripple20漏洞，但這些漏洞具有多種變體，所以安全風(fēng)險仍然很大。

目前Treck公司通過發(fā)布6.0.1.67或更高版本的TCP / IP堆棧來修復(fù)大多數(shù)漏洞。

以下是部分漏洞詳細信息：

• CVE-2020-11896(CVSS v3基本得分10.0)：在處理由未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，對IPv4 / UDP組件中的長度參數(shù)不一致的處理不當。此漏洞可能導(dǎo)致遠程執(zhí)行代碼。
• CVE-2020-11897(CVSS v3基本得分10.0)：在處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，對IPv6組件中的長度參數(shù)不一致的處理不當。此漏洞可能導(dǎo)致越界寫入。
• CVE-2020-11898(CVSS v3基本得分9.1)：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，對IPv4 / ICMPv4組件中的長度參數(shù)不一致的處理不當。此漏洞可能導(dǎo)致敏感信息暴露。
• CVE-2020-11901(CVSS v3基本得分9.0)：處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，DNS解析器組件中的輸入驗證不正確。此漏洞可能導(dǎo)致遠程執(zhí)行代碼。

JSOF已與多家組織合作，協(xié)調(diào)漏洞披露和修補工作，包括CERT / CC，CISA，F(xiàn)DA，國家CERT，受影響的供應(yīng)商和其他網(wǎng)絡(luò)安全公司。

到目前為止，已經(jīng)確認來自11個供應(yīng)商的產(chǎn)品易受攻擊，包括輸液泵、打印機、UPS系統(tǒng)、網(wǎng)絡(luò)設(shè)備、銷售點設(shè)備、IP攝像機、視頻會議系統(tǒng)、樓宇自動化設(shè)備和ICS設(shè)備等。但不止于此，研究人員認為這些漏洞可能會影響來自100多家供應(yīng)商的數(shù)億臺設(shè)備。

防范建議

為此，JSOF提出了一些減小風(fēng)險的措施建議：

• 所有組織在部署防御措施之前都必須進行全面的風(fēng)險評估;
• 以被動“警報”模式部署防御措施。

針對設(shè)備供應(yīng)商：

• 確定是否使用了易受攻擊的Treck堆棧
• 聯(lián)系Treck了解其中風(fēng)險;
• 更新到最新的Treck堆棧版本(6.0.1.67或更高版本);
• 如果無法更新，請考慮禁用易受攻擊的功能;

針對運營商和網(wǎng)絡(luò)用戶(基于CERT / CC和CISA ICS-CERT建議)：

• 將所有設(shè)備更新為補丁程序版本;
• 如果無法更新設(shè)備，則可以：1、最小化嵌入式和關(guān)鍵設(shè)備的網(wǎng)絡(luò)暴露，將暴露程度保持在最低水平，并確保除非絕對必要，否則無法從Internet訪問設(shè)備。2、將OT網(wǎng)絡(luò)和設(shè)備隔離在防火墻后，并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離。3、僅啟用安全的遠程訪問方法。
• 阻止異常IP流量;
• 通過深度數(shù)據(jù)包檢查來阻止網(wǎng)絡(luò)攻擊，以降低Treck嵌入式啟用TCP / IP的設(shè)備的風(fēng)險。