新的Ripple20缺陷使数十亿个互联网连接设备面临被黑客入侵的风险,被称为“ Ripple20 ”的这19个漏洞集合位于Treck开发的低级TCP / IP软件库中,如果进行了武器化,可以使远程攻击者完全控制目标设备,而无需任何用户交互。
根据发现这些缺陷的网络安全组织东方联盟的介绍,受影响的设备正在各种行业中使用,从家用/消费设备到医疗,医疗保健,数据中心,企业,电信,石油,天然气,核能,交通运输以及许多其他关键基础架构。
全球知名白帽黑客、东方联盟创始人郭盛华透露:“数据可能会从打印机上窃取,输液泵的行为可能会改变,或者工业控制设备可能会发生故障。黑客攻击者可能会在嵌入式设备中隐藏恶意代码数年。” 其中一个漏洞可能允许从外部进入网络边界;这只是潜在风险的一小部分。”
Treck TCP / IP堆栈中存在四个关键漏洞,CVSS得分超过9,这可能使攻击者可以在目标设备上远程执行任意代码,并且一个关键错误会影响DNS协议。
报告说:“其他15个漏洞的严重程度不同,CVSS评分从3.1到8.2,影响范围从拒绝服务到潜在的远程执行代码。”
多年来,由于代码更改和堆栈可配置性,Trick或设备制造商已修补了一些Ripple20缺陷,并且出于同样的原因,许多缺陷还具有多种变体,直到供应商执行全面的风险评估,这些变体显然不会很快被修正。
CVE-2020-11896(CVSS v3基本得分10.0):在处理由未经授权的网络攻击者发送的数据包时,对IPv4 / UDP组件中的长度参数不一致的处理不当。此漏洞可能导致远程执行代码。
CVE-2020-11897(CVSS v3基本得分10.0):在处理未经授权的网络攻击者发送的数据包时,对IPv6组件中的长度参数不一致的处理不当。此漏洞可能导致越界写入。
CVE-2020-11898(CVSS v3基本得分9.8):处理未经授权的网络攻击者发送的数据包时,对IPv4 / ICMPv4组件中的长度参数不一致的处理不当。此漏洞可能导致敏感信息暴露。
CVE-2020-11899(CVSS v3基本得分9.8):处理未经授权的网络攻击者发送的数据包时,IPv6组件中的输入验证不正确。此漏洞可能允许暴露敏感信息。
CVE-2020-11900(CVSS v3基本分数为9.3):在处理网络攻击者发送的数据包时,IPv4隧道组件中可能会出现双重释放。此漏洞可能导致远程执行代码。
CVE-2020-11901(CVSS v3基本得分9.0):处理未经授权的网络攻击者发送的数据包时,DNS解析器组件中的输入验证不正确。此漏洞可能导致远程执行代码。
网络安全研究人员负责地向Treck公司报告了他们的发现,然后Treck公司通过发布6.0.1.67或更高版本的TCP / IP堆栈来修补大多数缺陷。
研究人员还联系了500多家受影响的半导体和设备制造商,其中包括HP,施耐德电气,英特尔,罗克韦尔自动化,Caterpillar,Baxter和Quadros,其中许多人已经承认该缺陷,其余的人仍在评估他们的产品上市。
“在一些参与的供应商要求更多时间之后,披露被推迟了两次,其中一些供应商表示与COVID-19有关的延误。出于这些公司的考虑,时间从90天延长到120天以上即便如此,一些参与的公司由于提出了额外的要求而变得难以应对。从我们的角度来看,有些公司似乎更关注其品牌形象,而不是修补漏洞。”
由于数百万的设备不会很快收到安全补丁更新来解决Ripple20漏洞,因此研究人员建议消费者和组织采取以下措施:
1、最小化所有控制系统设备和/或系统的网络暴露,并确保不能从Internet访问它们。
2、在防火墙后面找到控制系统网络和远程设备,并将其与业务网络隔离。
3、除此之外,还建议使用虚拟专用网络通过Internet将设备安全地连接到基于云的服务。
在其咨询中,CISA还要求受影响的组织在部署防御措施之前进行适当的影响分析和风险评估。(欢迎转载分享)