Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
周三,以色列网络安全公司 JSOF 警告称,在20世纪90年代设计的一个小型库 Treck TCP/IP 中发现了19个漏洞,可导致全球数十亿IoT设备易受远程攻击。该库专为嵌入式系统设计,20多年来广泛用于并集成到全球无数企业和消费者级别的产品中。
这些漏洞被统称为 “Ripple 20”,被评级为“严重”和“高危”级别,可被用于执行远程代码、发动拒绝服务攻击并获取潜在的敏感信息。漏洞利用涉及将特殊构造的 IP 数据包或 DNS 请求发送至目标,而在某些情况下很可能直接从互联网上发动攻击。受影响产品包括智能家居设备、电力网设备、医疗系统、交通系统、打印机、路由器、移动/卫星通信设备、数据中心设备、商用飞机设备、多种企业解决方案等等。
出于复杂或无法追踪的软件供应链关系,网络安全专家目前担心使用该库的所有产品未来将很有可能仍处于未修复状态。
这些问题的产生基于一个事实:该库不仅直接由设备供应商使用,而且还被集成到其它软件套件中,也就是说很多企业甚至并未意识到他们正在使用该特定代码,而易受攻击的库并未出现在他们的代码清单中。
被统称为 “Ripple 20” 的这些漏洞影响的是由总部位于美国辛辛那提的软件公司 Treck 开发的一个小型库。
据称该库首次在1997年发布,实现了一个轻量级的 TCP/IP 栈。数十年来,企业一直通过这个库使设备或软件通过 TCP/IP 连接联网。
自2019年9月起,JSOF 公司的研究人员就因其在工业、医疗和智能设备市场的广泛应用而查看 Treck 公司开发的 TCP/IP 栈。结果他们发现了很多严重漏洞,并和不同国家的计算机紧急响应团队一起协调漏洞披露和打补丁流程。
JSOF 公司表示其中涉及很多工作和步骤,如通知 Treck 公司、确保 Treck 公司按时推出补丁、找到所有易受攻击的设备并一一通知相关受影响厂商等等。JSOF 公司的首席执行官 Shlomi Oberman 表示结果取得成功,并对 CERT/CC 在和厂商协调漏洞披露过程中发挥的重大作用表示感谢。而 Treck 公司刚开始认为遭到了勒索敲诈,但现在已开始完全配合。Treck 公司也证实称目前已推出适用于这些漏洞的补丁。
但 JSOF 公司表示识别所有易受攻击设备的工作尚未完成。研究人员表示将这19个漏洞命名为 “Ripple20”,并非因为起初识别为20个漏洞,而是因为它们在2020年以及未来对 IoT 安全局势所带来的“涟漪 (ripple)”效应。
研究人员表示,在发现所有实现 Treck 公司 TCP/IP 库的设备方面他们只是触及表面,很多设备厂商未来需要自行验证自己的代码。
Oberman 指出,虽然并非所有的 Ripple20 漏洞是严重漏洞,但其中一些漏洞尤为危险,可导致攻击者在“远程”场景下接管易受攻击的系统。
美国国土安全部将在今天发布安全公告,将四个漏洞的 CVSSv3 评分评为10分和9.8分。它们是:
CVE-2020-11896:CVSSv3 评分为10分。当处理由未授权网络攻击者发送的一个数据包时,对 IPv4/UDP 组件的长度参数不一致性的处理不当。该漏洞可能导致远程代码执行后果。
CVE-2020-11897:CVSSv3 评分为10分。当处理由未授权网络攻击者发送的一个数据包时,对 IPv6 组件的长度参数不一致性的处理不当。该漏洞可能导致界外写入后果。
CVE-2020-11898:CVSSv3 评分为9.8分。当处理由未授权网络攻击者发送的一个数据包时,对 IPv4/ICMPv4 组件的长度参数不一致性的处理不当。该漏洞可能导致敏感信息泄露后果。
CVE-2020-11898:CVSSv3 评分为9.8分。当处理由未授权网络攻击者发送的一个数据包时,对 IPv6 组件的输入验证不当。该漏洞可能导致敏感信息泄露后果。
这四个漏洞如遭武器化,则可导致攻击者轻易接管智能设备或任何工业或医疗设备。如果设备为联网状态,则可能通过互联网发动攻击;或者如攻击者在内网站稳脚跟(如通过受陷路由器),则可能通过本地网发动攻击。
这四个漏洞不仅是僵尸网络操纵者而且也是针对性攻击的理想之选。鉴于Treck 公司在软件行业的足迹广泛,因此对于所有企业而言,测试系统是否易受 Ripple20 漏洞攻击并修复上述四个漏洞应该是工作的重中之重。
目前,研究人员认为Ripple20 漏洞的影响相当于在2019年7月披露的 Urgent/11 漏洞,而后者当前仍在调查过程中,而且人们会经常发现并修复新的易受攻击的设备。两者之间的比较并非偶然,因为 Urgent/11 漏洞影响的是 VxWorks 实时操作系统的 TCP/IP (IPnet) 网络栈,它是另外一款在物联网和工业场景中使用广泛的产品。
和 Urgent/11 漏洞的情况一样,某些产品将仍处于未修复状态,因为有些产品已到达生命周期,或者厂商已关闭运作。
JOSF 将受邀在美国2020年黑帽大会上发表相关演讲。
缓解措施
CERT/CC 发布的缓解措施如下:
CVE-2020-11896 和 CVE-2020-11907:检查 IP分片和拒绝异常 IP 分片流量以防止滥用。如不支持 IP 分片,则为保险起见则可完全阻止 IP 分片的数据包。
CVE-2020-11897 和 CVE-2020-11909:通过阻止各种 IP 源路由缓解,包括 IPv6 源路由——Routing Header Type 0 已被 RFC-5095 删除,另见 (VU#267289) (https://www.kb.cert.org/vuls/id/267289)
CVE-2020-11898、CVE-2020-11900和 CVE-2020-11902:如环境不要求或者不受支持,则禁用或拦截 IP-in-IP 隧道。(更多请见 VU#636397)
CVE-2020-11899:可通过释放发往多播目标 ff00::/8 的 IPv6 数据包来缓解。
CVE-2020-11901:可通过 DNS 深度数据包检查或安全的 DNS 递归服务器对 DNS 响应的标准化进行缓解。
CVE-2020-11903 和 CVE-2020-11905:禁用 DHCP 和 DHCPv6 客户端,确保 DHCP 中继项 (RFC3046) (https://tools.ietf.org/html/rfc3046) 未启用且局域网交换机具有多种能力如 DHCP 侦听等减少在目标设备上滥用 DHCP 的风险。
CVE-2020-11910 和 CVE-2020-11911:拦截不受支持的 ICMP 信息如 ICMPv4 type 3、code 4、数据包(MTU 更新)和 ICMP type 18 code 0、数据博鳌(地址掩码回复)。在多数终端设备网络环境中并不需要这些消息。
CVE-2020-11913 和 CVE-2020-11914:确保使用可靠的拒绝 runt 框架的以太网硬件,使用适当的设备驱动保护程序拒绝恶意以太网框架。
CVE-2020-11912:通过防火墙设备或 NAT 设备检查 TCP SACK (SelectAcknowledgement) 和 TCP 时间戳项,拒绝任何恶意数据包。
这个严重的无补丁 UPnP 漏洞影响几乎所有的IoT设备:绕过安全系统、扫描LANs
FPGA 芯片被曝严重的 Starbleed 漏洞,影响数据中心IoT工业设备等
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。