IT資訊

NEWS information

關于 Ripple20漏洞

2020-07-03

  

總部位于辛辛那提(Cincinnati)的軟件公司Treck1997年推出了一個小型庫,在過去二十多年中被廣泛使用,并集成到無數企業級和消費級產品中。不過今天,網絡安全專家披露了存在于該小型庫中的19個漏洞,統稱為Ripple20。

以色列網絡安全公司JSOF周二警告說,由于嚴重安全漏洞影響了TreckTCP/IP堆棧,全球數億臺(甚至更多)IoT設備可能會受到遠程攻擊。這一漏洞影響各行各業,波及家用/消費設備、醫療保健、數據中心、企業、電信、石油、天然氣、核能、交通運輸以及許多其他關鍵基礎架構。

TreckTCP/IP是專門為嵌入式系統設計的高性能TCP/IP協議套件。JSOF研究人員發現該產品共有190day漏洞,影響Treck網絡協議的專有實現,因在2020年報道出來,所以將這一系列漏洞統稱為“Ripple20”。JSOF是一家專門從事物聯網和嵌入式設備安全的公司。

嵌入式TCP/IP庫中存在嚴重漏洞意味著什么?全球數十億臺聯網設備,從打印機和IP攝像機等消費類產品到跨組織使用的專用設備,例如視頻會議系統和工業控制系統等,都面臨攻擊風險之中。

目前確認受影響的廠商為:       

        Aruba Networks  HCL Tech      Zuken Elmic  B.Braun  HP   Baxter     HPE        CareStream   Intel Caterpillar       Maxlinear      Cisco      Opto22  DellRockwell Automation  Digi International  Schneider     Electric/APC       Eaton     Teradici  Green Hills Software   Xeroex

        詳細的設備型號還需要進一步確認。

黑客可以利用其中的一些漏洞通過網絡遠程執行代碼展開攻擊,或在設備中隱藏惡意代碼,可徹底損壞入侵設備,將在整個供應鏈行業中產生連鎖反應。

內存損壞漏洞

19個漏洞都是內存損壞問題,源于使用不同協議(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太網鏈路層)在網絡上發送的數據包的處理錯誤。

通用漏洞評分系統(CVSS)中有兩個漏洞被評為10級,這是最高的嚴重度評分。一種可能導致遠程執行代碼,另一種可能導致越界寫入。其他兩個漏洞的等級被評為9以上,這意味著它們也很關鍵,可能導致遠程執行代碼或泄露敏感信息。

而其他15個漏洞的嚴重程度不同,CVSS評分從3.18.2,影響范圍從拒絕服務到潛在的遠程執行代碼。雖然評分較低,但并不代表沒有風險,因為CVSS分數并不總是根據設備類型反映出實際部署的風險。例如,在關鍵基礎架構或醫療保健環境中,阻止設備執行其重要功能的拒絕服務漏洞可被視為關鍵漏洞,并可能造成災難性后果。

部分漏洞已修復

多年來,由于代碼更改和堆??膳渲眯?,Treck或設備制造商已修補了一些Ripple20漏洞,但這些漏洞具有多種變體,所以安全風險仍然很大。

目前Treck公司通過發布6.0.1.67或更高版本的TCP/IP堆棧來修復大多數漏洞。

以下是部分漏洞詳細信息:

CVE-2020-11896CVSSv3基本得分10.0):在處理由未經授權的網絡攻擊者發送的數據包時,對IPv4/UDP組件中的長度參數不一致的處理不當。此漏洞可能導致遠程執行代碼。

CVE-2020-11897CVSSv3基本得分10.0):在處理未經授權的網絡攻擊者發送的數據包時,對IPv6組件中的長度參數不一致的處理不當。此漏洞可能導致越界寫入。

CVE-2020-11898CVSSv3基本得分9.1):處理未經授權的網絡攻擊者發送的數據包時,對IPv4/ICMPv4組件中的長度參數不一致的處理不當。此漏洞可能導致敏感信息暴露。

CVE-2020-11901CVSSv3基本得分9.0):處理未經授權的網絡攻擊者發送的數據包時,DNS解析器組件中的輸入驗證不正確。此漏洞可能導致遠程執行代碼。

JSOF已與多家組織合作,協調漏洞披露和修補工作,包括CERT/CC,CISA,FDA,國家CERT,受影響的供應商和其他網絡安全公司。

到目前為止,已經確認來自11個供應商的產品易受攻擊,包括輸液泵、打印機、UPS系統、網絡設備、銷售點設備、IP攝像機、視頻會議系統、樓宇自動化設備和ICS設備等。但不止于此,研究人員認為這些漏洞可能會影響來自100多家供應商的數億臺設備。

漏洞詳情分析

1)         該系列漏洞并非廣義的TCP/IP協議的漏洞;其危害不針對整個互聯網。

2)         目前已公布的受影響的設備均為IoT設備,在PC設備領域沒有發現受到影響的設備。

3)         該系列漏洞存在于treck公司開發的TCP/IP底層庫實現中。

4)         根據Ripple20報告,該系列漏洞最高的危害是堆溢出造成遠程命令執行。

5)         目前暫未統計出受影響的所有設備列表。

6)         遠程命令執行需要構造復雜的系列數據包,利用難度非常高。

7)         需要滿足特定條件才可觸發漏洞。

安全人士指出,Ripple20漏洞的影響預計與20197月披露的Urgent/11漏洞類似,后者至今仍在調查中,業界至今仍在定期發現并修補新的漏洞設備。Urgent/11漏洞影響了VxWorks實時操作系統的TCP/IPIPnet)網絡堆棧,該系統是IoT和工業領域中廣泛使用的另一種產品。Ripple20漏洞的修補進程可以參考Urgent/11,后者至今仍有很多產品未能修復補?。ㄒ驗楫a品報廢、供應商停止運營、設備無法停機等原因)。

Treck本周一已經發布了補丁,供OEM使用最新的Treck堆棧版本(6.0.1.67或更高版本)?,F在的主要安全挑戰是如何讓如此多的企業盡快修復漏洞。除了ICSCERT,CERTCCJPCERT/CC的建議之外,英特爾和惠普也發布了警報。

JSOF分析師稱:

盡管最好的方法是安裝原始的Treck補丁,但在許多情況下無法安裝原始補丁。因此,CERT仍在努力開發可用于最小化或有效消除Ripple20風險的替代方法。

Knudsen補充說,這屬于供應鏈問題,因此很多受影響的產品應該能夠進行自我更新,但是在IoT和工業控制領域,并非總是如此。

對于無法安裝補丁程序的用戶,CERT/CCCISAICS-CERT建議:

如果無法修補設備,則管理員應最大程度地減少嵌入式設備和關鍵設備的網絡暴露,確保除非絕對必要,不應允許從互聯網訪問設備。此外,工控運營網絡和設備應隔離在防火墻之后,并與任何業務網絡隔離。

用戶還可以采取措施阻止異常IP流量,采用搶占式流量過濾,通過安全的遞歸服務器或DNS檢查防火墻對DNS進行標準化,或提供具有DHCP偵聽等功能的DHCP/DHCPv6安全性。

研究人員總結說:

軟件庫傳播廣泛,對其進行跟蹤一直是一個重大挑戰。當我們追蹤TreckTCP/IP庫的分布軌跡時,我們發現在過去的二十年中,這種基本的網絡軟件已經遍及全球。作為傳播媒介,復雜的供應鏈提供了理想的攻擊渠道,使原始漏洞幾乎可以無休止地滲透和偽裝。

Synopsys的高級安全策略師JonathanKnudsen指出:

首先,安全必須集成到軟件開發的每個部分:從設計過程中的威脅建模到實施過程中的自動化安全測試,軟件開發的每個階段都必須融入安全性。第二,開發軟件的組織必須管理其第三方組件。Ripple20漏洞產生深遠影響的主要原因是,它們是許多組織在許多產品中廣泛使用的網絡組件中的漏洞。每個軟件開發組織必須了解他們正在使用的第三方組件,以最大程度地降低它們所代表的風險。

最后,讓人擔憂的是,存在漏洞的軟件庫不僅由設備供應商直接使用,而且還集成到大量其他軟件套件中,這意味著許多公司甚至都不知道他們正在使用存在漏洞的代碼。

防范建議

JSOF提出了一些減小風險的措施建議:

所有組織在部署防御措施之前都必須進行全面的風險評估;

以被動“警報”模式部署防御措施。

針對設備供應商

確定是否使用了易受攻擊的Treck堆棧

聯系Treck了解其中風險;

更新到最新的Treck堆棧版本(6.0.1.67或更高版本);

如果無法更新,請考慮禁用易受攻擊的功能;

針對運營商和網絡用戶(基于CERT/CCCISAICS-CERT建議)

將所有設備更新為補丁程序版本;

如果無法更新設備,則可以:

1、最小化嵌入式和關鍵設備的網絡暴露,將暴露程度保持在最低水平,并確保除非絕對必要,否則無法從Internet訪問設備。

2、將OT網絡和設備隔離在防火墻后,并將其與業務網絡隔離。

3、僅啟用安全的遠程訪問方法。

4、阻止異常IP流量;

5、通過深度數據包檢查來阻止網絡攻擊,以降低Treck嵌入式啟用TCP/IP的設備的風險。

處置建議

仍在使用設備時,Ripple20構成重大風險。潛在的風險場景包括:

如果面向互聯網,則來自網絡外部的攻擊者將控制網絡中的設備;

已經設法滲透到網絡的攻擊者可以使用庫漏洞來針對網絡中的特定設備;

攻擊者可以廣播能夠同時接管網絡中所有受影響設備的攻擊;

攻擊者可能利用受影響的設備隱藏在內網中;

復雜的攻擊者可能會從網絡邊界外部對網絡內的設備進行攻擊,從而繞過任何NAT配置。這可以通過執行MITM攻擊或dns緩存中毒來完成;

在某些情況下,攻擊者可能能夠通過響應離開網絡邊界的數據包,繞過NAT,從網絡外部執行攻擊;

在所有情況下,攻擊者都可以遠程控制目標設備,而無需用戶干預。

JSOF建議采取措施以最小化或減輕設備開發的風險。設備供應商將采用與網絡運營商不同的方法。通常,我們建議執行以下步驟:

所有組織在部署防御措施之前都必須進行全面的風險評估。建議部署防御措施。

設備供應商的緩解措施:

1.         定您是否使用了易受攻擊的Treck堆棧;

2.         聯系Treck了解風險;

3.         更新到最新的Treck堆棧版本(6.0.1.67或更高版本);

4.         如果無法更新,請考慮禁用易受攻擊的功能。

對運營商和網絡的緩解:(基于CERT/CCCISAICS-CERT咨詢)

1.          將所有設備更新到最新版本;

2.         如果無法更新設備,建議執行以下步驟:

1)最大限度地減少嵌入式和關鍵設備的網絡暴露,并確保無法從Internet訪問;

2)定位防火墻防護的OT網絡和設備,并將其與業務網絡隔離;

3)僅啟用安全的遠程訪問方法,建議使用虛擬專用網絡(VPN)。

3.         阻止異常IP流量;

4.         通過深度數據包檢查來阻止網絡攻擊,以降低Treck嵌入式啟用TCP/IP的設備的風險。

搶占式流量過濾是一種有效的技術,可以適當地應用于您的網絡環境。過濾選項包括:

1.          如果您的環境不支持,則規范化或阻止IP段;

2.         如果不需要,請禁用或阻止IP隧道(IPv6-in-IPv4IP-in-IP隧道);

3.         阻止IP源路由以及所有不贊成使用IPv6的功能,例如路由標頭VU267289;

4.         強制執行TCP檢查,拒絕格式錯誤的TCP數據包;

5.         阻止未使用的ICMP控制消息,例如MTU更新和地址掩碼更新;

6.         通過安全的遞歸服務器或DNS檢查防火墻規范DNS;

7.         提供DHCP/DHCPv6安全性,并具有DHCP監聽等功能;

8.         如果未在交換基礎架構中使用,請禁用/阻止IPv6多播功能;

9.         在可以使用靜態IP的地方禁用DHCP;

10.      使用網絡IDSIPS簽名;

11.      如果可用,請劃分網絡。

臨時修補建議:

1.         部署網絡掃描安全監測平臺,對內部網絡進行掃描監測,對披露的相關品牌資產進行識別,監測暴露的端口、協議接口等敏感信息。

2.          部署網絡流量分析設備,進行深度數據包檢查,與網絡設備聯動丟棄錯誤的數據包。

3.          部署IDS/IPS,對內部數據包進行簽名,拒絕非法通信數據包。

設備使用商

1.       針對物聯網設備,禁止IP_IN_IP的訪問,即類似VPN方式的數據訪問。

2.       如果使用的防護設備可以自定義規則,則可以添加如下規則:

3.       #IP-in-IPtunnelwithfragments

4.       alertipanyany->anyany(msg:"VU#257161:CVE-2020-11896FragmentsinsideIP-in-IPtunnel"; ip_proto:4;fragbits:M;rev:1;)

5.       隨時關注設備廠商的軟件更新公告,即時更新系統到最新版本。

6.       限制物聯網設備訪問權限與訪問范圍。

https://www.jsof-tech.com/ripple20/

https://www.jsof-tech.com/wp-content/uploads/2020/06/JSOF_Ripple20_Technical_Whitepaper_June20.pdf

https://www.ithome.com.tw/news/138395


聯系電話:400-995-7585
郵      箱:wanjiawan@wanjiawan.com
郵政編碼:518057
公司地址:深圳市南山高科技園區深圳虛擬大學園重點實驗室平臺大樓A718
Copyright © 2018 mingwan 版權所有 |備案號: 粵ICP備19037688號-2

欧美老妇乱人伦A片精品,亚洲国产精品久久一线不卡,亚洲综合一区二区三区四区五区,欧美大胆无码AV激情