Treck 0Day漏洞影响全球数亿物联网设备
0nise 1397天前研究人员在Treck开发的TCP / IP软件库中发现了19个新的零日漏洞。名为Ripple20,这些漏洞具有允许控制联网设备的潜力。我国相关安全机关已于近日要求各应急单位"对Treck公司TCP/IP协议系列高危漏洞进行网络安全专项排查防护工作"。
背景
以色列网络安全研究机构 JSOF 实验室由一群专注于低级软件漏洞的研究人员组成,他们披露了 19 个名为“ Ripple20”的一组漏洞。该批漏洞影响由 Treck Inc. 开发的嵌入式物联网(IoT)TCP/IP 软件库,Treck Inc.是嵌入式Internet协议的开发商。该库可在 70 多家硬件供应商的大量设备中找到。全球数十亿台联网设备,从打印机和IP摄像机等消费类产品到跨企业使用的专用设备,例如视频会议系统和工业控制系统等,都面临攻击风险之中。
黑客可以利用其中的一些漏洞通过网络远程执行代码展开攻击,或在设备中隐藏恶意代码,可彻底损坏入侵设备,将在整个供应链行业中产生连锁反应。
这些漏洞是在本月早些时候披露的 CVE-2020-10136 这一 IP-in-IP 数据包处理漏洞的披露之后的,它还影响了 Treck 开发的 IoT 设备 TCP/IP 库。随着时间的推移,影响不断扩大。
分析
Treck开发的嵌入式TCP / IP软件库中存在Ripple20漏洞。这些库已被许多供应商生产的各种设备许可并使用。JSOF指出,由于后勤和法律原因,很难跟踪和识别所有可能受影响的供应商和设备。他们的披露详细说明了识别受影响的供应链有多么困难,因为潜在风险的范围是多种多样的。
CVE-2020-11901是一个DNS漏洞,它使攻击者可以在重定向到恶意网址的设备上获得远程代码执行(RCE)。攻击者首先需要通过毒害其DNS服务器或欺骗其他合法IP地址(例如设备更新服务器)来劫持设备的主机名解析。标准安全配置通常允许出站连接比入站连接具有更少的限制,从而允许利用这些漏洞产生更大的潜在影响。
CVE-2020-11896和CVE-2020-11897是由于将格式错误的数据包发送到已启用IP隧道的设备而导致的漏洞。JSOF通过发送格式错误的ICMP回显请求,从而在Digi Connect ME 9210上确认了CVE-2020-11896,从而允许JSOF在设备上注入shellcode。攻击者可能会在易受攻击的设备上获得一致的RCE,或者导致拒绝服务(DoS),直到重置设备为止。
本公开中概述的其余漏洞的范围从RCE到敏感信息公开,给未缓解和未修补的设备带来了广泛的风险。
下面列出了CVE的完整列表
概念证明POC
JSOF已在其YouTube频道上发布了概念证明视频,演示了攻击:
供应商回应
自 2019 年 9 月以来,JSOF,Treck,CERT 组织和安全厂商一直与硬件厂商合作,以确认受影响的设备。确认所有受影响的设备将花费大量持续的精力和时间。JSOF 列出了受影响的供应商,可在披露页面的技术部分中找到。
下表包含来自 CERT/CC 的受影响和不受影响的供应商列表,该列表在此链接维护。
解决方案
鼓励用户联系其设备供应商以获取支持和更新(如果有)。对于制造商不再支持的设备,用户可以升级到受支持的设备,或应用建议的缓解步骤。已经发布更新的供应商包括 HP,Braun,Caterpillar,GHS 和 Rockwell。
用户还可以通过多种安全措施来缓解攻击。JSOF 在披露页面上提供了一个列表,请更新到最新的 Treck 堆栈版本(6.0.1.67或更高版本)
https://www.jsof-tech.com/ripple20/#ripple-riskmitigation
识别受影响的系统
Tenable 的 Remote 漏洞插件 ID137703 可用于识别利用 Treck 网络堆栈的设备。
Tenable.ot 客户应联系其 CSM,以获取可用于检测此漏洞的 Suricata 规则。这些规则将完全集成在当前版本和更高版本的下一个S ervice Pack 中。
我们要感谢发现了 Ripple20 漏洞的 JSOF 研究实验室与 Tenable Research 合作提供有关该漏洞的其他详细信息,包括检测信息。我们强烈建议所有 Tenable 客户使用上述插件扫描其环境,以确定其 Ripple20 漏洞的情况。
获取更多信息
◆本文版权归原作者所有,如有侵权请联系我们及时删除
最新评论