新的Ripple20缺陷使數十億個互聯網連接設備面臨被黑客入侵的風險,被稱為“ Ripple20 ”的這19個漏洞集合位於Treck開發的低級TCP / IP軟件庫中,如果進行了武器化,可以使遠程攻擊者完全控制目標設備,而無需任何用戶交互。
根據發現這些缺陷的網絡安全組織東方聯盟的介紹,受影響的設備正在各種行業中使用,從家用/消費設備到醫療,醫療保健,數據中心,企業,電信,石油,天然氣,核能,交通運輸以及許多其他關鍵基礎架構。
全球知名白帽黑客、東方聯盟創始人郭盛華透露:“數據可能會從打印機上竊取,輸液泵的行為可能會改變,或者工業控制設備可能會發生故障。黑客攻擊者可能會在嵌入式設備中隱藏惡意代碼數年。” 其中一個漏洞可能允許從外部進入網絡邊界;這只是潛在風險的一小部分。”
Treck TCP / IP堆棧中存在四個關鍵漏洞,CVSS得分超過9,這可能使攻擊者可以在目標設備上遠程執行任意代碼,並且一個關鍵錯誤會影響DNS協議。
報告說:“其他15個漏洞的嚴重程度不同,CVSS評分從3.1到8.2,影響范圍從拒絕服務到潛在的遠程執行代碼。”
多年來,由於代碼更改和堆棧可配置性,Trick或設備制造商已修補了一些Ripple20缺陷,並且出於同樣的原因,許多缺陷還具有多種變體,直到供應商執行全面的風險評估,這些變體顯然不會很快被修正。
CVE-2020-11896(CVSS v3基本得分10.0):在處理由未經授權的網絡攻擊者發送的數據包時,對IPv4 / UDP組件中的長度參數不一致的處理不當。此漏洞可能導致遠程執行代碼。
CVE-2020-11897(CVSS v3基本得分10.0):在處理未經授權的網絡攻擊者發送的數據包時,對IPv6組件中的長度參數不一致的處理不當。此漏洞可能導致越界寫入。
CVE-2020-11898(CVSS v3基本得分9.8):處理未經授權的網絡攻擊者發送的數據包時,對IPv4 / ICMPv4組件中的長度參數不一致的處理不當。此漏洞可能導致敏感信息暴露。
CVE-2020-11899(CVSS v3基本得分9.8):處理未經授權的網絡攻擊者發送的數據包時,IPv6組件中的輸入驗證不正確。此漏洞可能允許暴露敏感信息。
CVE-2020-11900(CVSS v3基本分數為9.3):在處理網絡攻擊者發送的數據包時,IPv4隧道組件中可能會出現雙重釋放。此漏洞可能導致遠程執行代碼。
CVE-2020-11901(CVSS v3基本得分9.0):處理未經授權的網絡攻擊者發送的數據包時,DNS解析器組件中的輸入驗證不正確。此漏洞可能導致遠程執行代碼。
網絡安全研究人員負責地向Treck公司報告了他們的發現,然后Treck公司通過發布6.0.1.67或更高版本的TCP / IP堆棧來修補大多數缺陷。
研究人員還聯系了500多家受影響的半導體和設備制造商,其中包括HP,施耐德電氣,英特爾,羅克韋爾自動化,Caterpillar,Baxter和Quadros,其中許多人已經承認該缺陷,其余的人仍在評估他們的產品上市。
“在一些參與的供應商要求更多時間之后,披露被推遲了兩次,其中一些供應商表示與COVID-19有關的延誤。出於這些公司的考慮,時間從90天延長到120天以上即便如此,一些參與的公司由於提出了額外的要求而變得難以應對。從我們的角度來看,有些公司似乎更關注其品牌形象,而不是修補漏洞。”
由於數百萬的設備不會很快收到安全補丁更新來解決Ripple20漏洞,因此研究人員建議消費者和組織采取以下措施:
1、最小化所有控制系統設備和/或系統的網絡暴露,並確保不能從Internet訪問它們。
2、在防火牆后面找到控制系統網絡和遠程設備,並將其與業務網絡隔離。
3、除此之外,還建議使用虛擬專用網絡通過Internet將設備安全地連接到基於雲的服務。
在其咨詢中,CISA還要求受影響的組織在部署防御措施之前進行適當的影響分析和風險評估。(歡迎轉載分享)