CNCERT：Treck TCP/IP协议栈漏洞“Ripple20”影响产品分析

1. “Ripple20”漏洞简介

Treck TCP/IP是由软件公司Treck在1997年推出的一套专用于嵌入式系统的TCP/IP 底层 Internet 协议套件库。通过设计针对内核、定时器、驱动程序、套接字的API接口，Treck TCP/IP 协议套件库可以很容易地集成到各种各样的嵌入式产品中，满足设备和软件接入互联网的功能需求，在全球范围内受到了广泛应用。

近日，研究者发现Treck TCP/IP协议栈存在一系列安全漏洞，命名为“Ripple20”，如下表所示。“Ripple20”共涉及19个漏洞，其中，2个漏洞被通用漏洞评分系统（CVSS）评分为10分、2个漏洞评分超过9分，而其他15个漏洞CVSS评分从3.1到8.2。（注：“Ripple20”漏洞的成因及解析请参见“Ripple20：Treck TCP/IP协议栈漏洞分析与验证”一文）。

表1 “Ripple20”漏洞列表

2. “Ripple20”漏洞影响范围分析

“Ripple20”系列漏洞广泛影响嵌入式设备。截止到目前，部分厂商公布了其受影响的产品列表，统计情况见表2，其中涉及的供应商包括HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar、Baxter等，涉及的产品类型包括打印机、UPS系统、网络设备、IP摄像机、视频会议系统、楼宇自动化设备和工控设备等，它们广泛应用于医疗、航空、运输、智能家居、能源（石油、天然气）、电信、零售业等行业。详情请见附录1。

表2 受影响厂商产品应用行业表

3. “Ripple20”漏洞影响产品联网情况

针对厂商发布的受漏洞影响产品，进行联网情况排查，目前监测共发现境内12537台相关资产暴露在互联网上，分布在全国33个省市地区，其中数量排名前五的地区为台湾（5540台）、香港（3003台）、北京（805台）、广东（493台）、浙江（390台）。详情如下所示。

表3 “Ripple20”漏洞影响的资产联网分布数据

图1 “Ripple20”漏洞影响资产联网分布图

经分析，这些联网资产涉及惠普、施耐德、英特尔、罗克韦尔等公司的设备，如下图所示：

图2 受“Ripple20”漏洞影响的联网资产的厂商统计

通过对联网资产的归属地分析发现，部分IP归属于关键信息基础设施行业，包括电信与互联网、工业制造、广播电视等，需要引起高度重视。

图3 “Ripple20”漏洞影响的联网资产所属行业分布

附录1：“Ripple20”漏洞影响产品清单

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。