威胁情报|Ripple20漏洞将波及数亿IoT设备
近期,以色列网络安全公司 JSOF 的研究人员在一个广泛使用的底层 TCP/IP 套件中发现了一系列零日物联网软件漏洞(统称“Ripple20”,其中四个定义为高危)预计将波及全球数亿个物联网(IoT)和工业控制设备。
研究人员表示,他们将这些漏洞命名为“Ripple20”并不是说发现了20个漏洞,而是因为这些漏洞将在2020年及以后的IoT市场中连锁引发安全风暴。更糟糕的是,研究人员指出目前发现的“Ripple20”零日漏洞可能只是冰山一角,而且攻击者的恶意代码可能会在嵌入式设备中潜伏多年。
总部位于辛辛那提(Cincinnati)的软件公司 Treck 在 1997 年推出了一个小型库,并集成到无数企业级和消费级产品中,实现了一个轻量级的 TCP/IP 堆栈,在二十余年间被各类企业广泛用于实现联网功能,目前已知相关漏洞可用于提权、拒绝攻击和信息泄露。其中有四个特别严重,允许黑客在目标设备上运行自己的命令(即所谓的远程代码执行),或者使敏感信息泄漏。。
受影响的设备正在各种行业中使用,从家用/消费设备到交通运输,医疗保健,数据中心,企业,电信,石油,天然气,核能,以及许多其他关键基础架构,预期至少涉及高达数亿的设备,其中包括:智能家居设备,电网设备,医疗保健系统,工业控制设备,交通运输系统,打印机,路由器,移动/卫星通信设备,数据中心设备,商用软件产品,飞机设备,各种企业解决方案等。受影响的财富 500 强企业包括:惠普、施耐德、英特尔、罗克韦尔、卡特彼勒和巴克斯特。
美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)的一份咨询报告显示,对CVSS评分在7到10之间的漏洞进行了评分,发现有四个较为严重的漏洞。
其中的大多数漏洞都是内存损坏问题,源于使用不同协议(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太网链路层)在网络上发送的数据包的处理错误。
通用漏洞评分系统(CVSS)中有两个漏洞被评为10级,这是最高的严重度评分。一种可能导致远程执行代码,另一种可能导致越界写入。其他两个漏洞的等级被评为9以上,这意味着它们也很关键,可能导致远程执行代码或泄露敏感信息。
而其他十余个漏洞的严重程度各有不同,CVSS评分从3.1到8.2,影响范围从拒绝服务到潜在的远程执行代码。
虽然评分较低,但并不代表没有风险,因为CVSS分数并不总是根据设备类型反映出实际部署的风险。例如,在关键基础架构或医疗保健环境中,阻止设备执行其重要功能的拒绝服务漏洞可被视为关键漏洞,并可能造成灾难性后果。
多年来,由于代码更改和堆栈可配置性,Treck或设备制造商已修补了一些Ripple20漏洞,但这些漏洞具有多种变体,所以安全风险仍然很大。
目前Treck公司通过发布6.0.1.67或更高版本的TCP / IP堆栈来修复大多数漏洞。
以下是四个高危漏洞详细信息:
CVE-2020-11896 -CVSSv3得分:10-处理未经授权的网络攻击者发送的数据包时,IPv4 / UDP组件中的长度参数不一致处理不当。此漏洞可能导致远程执行代码。
CVE-2020-11897 -CVSSv3得分:10-处理未经授权的网络攻击者发送的数据包时,IPv6组件中的长度参数不一致处理不当。此漏洞可能导致越界写入。
CVE-2020-11898 -CVSSv3得分:9.8-处理未经授权的网络攻击者发送的数据包时,IPv4 / ICMPv4组件中的长度参数不一致处理不当。此漏洞可能导致敏感信息暴露。
CVE-2020-11899 -CVSSv3得分:9.8-处理未经授权的网络攻击者发送的数据包时IPv6组件中的输入验证不正确。此漏洞可能允许暴露敏感信息。
如果将这四个漏洞武器化,它们可使攻击者轻松接管智能设备或任何工业或医疗设备。如果设备在线连接,则可以通过互联网进行攻击;如果攻击者获得了内部网络的立足点(例如,通过失陷的路由器),则可以通过本地网络进行攻击。
导致问题如此严重的原因是,这个小型库不仅被设备厂商直接使用,而且还被集成到其他软件套件中,这意味着许多公司甚至不知道他们正在使用这段特殊的代码,而且这个存在漏洞的库名甚至不会出现在它们的代码 manifests 中。而且安全研究人员还对此次涉事软件供应链复杂或未被跟踪表达了担忧,JSOF表示虽然已从今年2月开始与已确认受影响的所有受影响设备的供应商联系,并且许多公司已发布软件更新。但是物联网设备,尤其是那些停机时间很少的工业环境中的设备,通常会在数年内没有安装补丁。
参考链接https://www.jsof-tech.com/ripple20/
- 用户评论
