一、基本情况
近日,国外网络安全公司研究人员在Treck,Inc.开发的TCP/IP软件库中发现了19个0day漏洞,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914这些漏洞被JSOF命名为“Ripple20”。
由于TCP/IP软件库应用广泛,该漏洞的影响在整个供应链行业中产生连锁反应,漏洞的利用风险及破坏性被扩大,影响高达数亿的物联网设备。
二、漏洞分析
(一)漏洞描述
Ripple20是在Treck TCP / IP堆栈上发现的19个漏洞的集合。Ripple20漏洞中有四个被评为严重,CVSS得分超过9,可实现远程代码执行。关键漏洞之一是DNS协议中的漏洞,可能由攻击者通过互联网(甚至在未连接到互联网的设备上)从网络边界进行攻击。其他15个漏洞的严重性程度不同,CVSS评分从3.1到8.2不等,其影响从拒绝服务到潜在的远程代码执行。
由于供应链效应,Ripple20漏洞在影响的广度和深度方面都是独特的,它允许攻击者绕过NAT和防火墙,在不需要用户交互的情况下控制设备。这是因为漏洞位于低级TCP / IP堆栈中,并且对于许多漏洞而言,发送的数据包非常类似有效数据包,或者在某些情况下是完全有效的数据包,从而使攻击作为合法流量通过。
(二)潜在风险
Ripple20对仍在使用的设备构成重大风险。潜在的风险包括:
如果受影响设备面向互联网开放,攻击者可从网络外部控制网络内的设备。
已经渗透到网络中的攻击者可以使用库漏洞来攻击网络中的特定设备。
攻击者可以通过广播攻击网络中所有受影响设备。
攻击者可能会从网络边界之外对网络内的设备执行攻击,从而绕过NAT配置。这可以通过执行MITM攻击或DNS缓存中毒来实现。
在某些情况下,攻击者可以通过响应离开网络边界的数据包,绕过NAT,从网络外部执行攻击。
三、 影响范围
受影响版本
Treck TCP/IP = 6.0.1.66
Treck TCP/IP = 6.0.1.41
Treck TCP/IP = 6.0.1.28
Treck TCP/IP = 5.0.1.35
Treck TCP/IP = 4.7.1.27
不受影响版本
Treck TCP/IP >= 6.0.1.67
四、 缓解措施
(一)官方升级
目前官方已在最新版本中修复了该漏洞,请相关用户排查基于Treck公司TCP/IP协议的设备使用情况,并及时升级至6.0.1.67或更高版本。
(二)其他防护措施
1、部署物联网安全监测平台,对内部网络进行扫描监测,对披露的相关品牌资产进行识别,监测暴露的端口、协议接口等敏感信息。
2、通过部署网络流量分析设备深度数据包检查功能来缓解或阻止网络攻击,与网络设备联动丢弃格式错误的数据包。
3、通过在物联网设备上部署物联网安全产品,针对性的配置拒绝非法IP通信数据包、禁用或阻止IP隧道、并启用安全策略拦击恶意攻击等。
五、参考链接
(1)https://www.jsof-tech.com/ripple20/
(2)https://www.zdnet.com/article/ripple20-vulnerabilities-will-haunt-the-iot-landscape-for-years-to-come/#ftag=RSSbaffb68
(3)https://treck.com/vulnerability-response-information
支持单位:
绿盟科技集团股份有限公司
深信服科技股份有限公司
上海观安信息技术股份有限公司
杭州安恒信息技术股份有限公司
中国信息通信研究院
声明:本文来自网络安全威胁信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
