日前,以色列安全公司JSOF曝出的一“波”19個(gè)物聯(lián)網(wǎng)軟件漏洞(統(tǒng)稱Ripple20,其中四個(gè)很嚴(yán)重)波及全球數(shù)億個(gè)物聯(lián)網(wǎng)(IoT)和工業(yè)控制設(shè)備。
研究人員表示,他們將這19個(gè)漏洞命名為“Ripple20”并不是說(shuō)發(fā)現(xiàn)了20個(gè)漏洞,而是因?yàn)檫@些漏洞將在2020年及以后的IoT市場(chǎng)中連鎖引發(fā)安全風(fēng)暴。更糟糕的是,研究人員指出目前發(fā)現(xiàn)的19個(gè)Ripple20零日漏洞可能只是冰山一角,而且攻擊者的惡意代碼可能會(huì)在嵌入式設(shè)備中潛伏多年。
Ripple20漏洞存在于一個(gè)90年代設(shè)計(jì)的軟件庫(kù)——物聯(lián)網(wǎng)開發(fā)商廣泛使用的,由Treck公司開發(fā)的TCP/IP軟件庫(kù),用于實(shí)現(xiàn)輕量級(jí)的TCP / IP堆棧。在過(guò)去的20多年間,該庫(kù)已經(jīng)被廣泛使用并集成到無(wú)數(shù)企業(yè)和個(gè)人消費(fèi)者設(shè)備中。
JSOF研究實(shí)驗(yàn)室的研究人員稱,受影響的硬件幾乎無(wú)所不在,包括從聯(lián)網(wǎng)打印機(jī)到醫(yī)用輸液泵和工業(yè)控制設(shè)備的海量設(shè)備。Treck的用戶包括大把財(cái)富500強(qiáng)跨國(guó)公司,例如惠普、施耐德電氣、英特爾、Rockwell Automation、Caterpillar,Baxter…以及醫(yī)療、運(yùn)輸、工業(yè)控制、能源(石油/天然氣),電信,零售和商業(yè)等行業(yè)的許多其他主要國(guó)際供應(yīng)商。
研究人員在周二的一篇文章中說(shuō):“軟件庫(kù)的廣泛傳播(及其內(nèi)部漏洞)是供應(yīng)鏈“漣漪效應(yīng)”的結(jié)果。” “單個(gè)易受攻擊的組件雖然影響很小,但可能會(huì)向外擴(kuò)散,從而影響廣泛的行業(yè)、應(yīng)用程序、公司和個(gè)人。”
這些被稱為Ripple20的漏洞包括四個(gè)高危遠(yuǎn)程代碼執(zhí)行漏洞。如果將這四個(gè)漏洞武器化,它們可使攻擊者輕松接管智能設(shè)備或任何工業(yè)或醫(yī)療設(shè)備。如果設(shè)備在線連接,則可以通過(guò)互聯(lián)網(wǎng)進(jìn)行攻擊;如果攻擊者獲得了內(nèi)部網(wǎng)絡(luò)的立足點(diǎn)(例如,通過(guò)受損的路由器),則可以通過(guò)本地網(wǎng)絡(luò)進(jìn)行攻擊。
這四個(gè)漏洞對(duì)于僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商和針對(duì)性攻擊都是理想的選擇。考慮到Treck在整個(gè)軟件領(lǐng)域的龐大影響,測(cè)試并修復(fù)所有系統(tǒng)的Ripple20漏洞應(yīng)成為所有公司的首要任務(wù)。
“Ripple20”包含四個(gè)高危漏洞,詳情如下:
CVE-2020-11896,其CVSS v3評(píng)分為10(滿分10分),可以通過(guò)將多個(gè)格式錯(cuò)誤的IPv4數(shù)據(jù)包發(fā)送到支持IPv4隧道的設(shè)備來(lái)觸發(fā)。
CVE-2020-11897的CVSS v3漏洞嚴(yán)重性評(píng)分也達(dá)到了10分,屬于越界寫入漏洞,可以通過(guò)向設(shè)備發(fā)送多個(gè)格式錯(cuò)誤的IPv6數(shù)據(jù)包來(lái)觸發(fā)。它會(huì)影響任何運(yùn)行舊版支持IPv6的Treck設(shè)備,并且先前已通過(guò)例行代碼更改對(duì)其進(jìn)行了修復(fù)。該漏洞可能潛在地允許穩(wěn)定的遠(yuǎn)程代碼執(zhí)行。
CVE-2020-11901的CVSS v3漏洞嚴(yán)重性評(píng)分9,可以通過(guò)回答設(shè)備發(fā)出的單個(gè)DNS請(qǐng)求來(lái)觸發(fā)。它可以使攻擊者繞過(guò)任何安全措施,從而滲透網(wǎng)絡(luò),執(zhí)行代碼并接管設(shè)備。
JSOF表示:
CVE-2020-11898,CVSS v3評(píng)分9.1,當(dāng)處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時(shí),這是對(duì)IPv4 / ICMPv4組件中的長(zhǎng)度參數(shù)不一致錯(cuò)誤的不當(dāng)處理。它可以導(dǎo)致信息被公開。
其他15個(gè)漏洞的嚴(yán)重性評(píng)分從8.2到3.7不等。高達(dá)8.2的嚴(yán)重漏洞(例如CVE-2020-11900,一種可使用后使用的缺陷)到低嚴(yán)重性的不正確輸入驗(yàn)證問(wèn)題(例如CVE-2020-11913,嚴(yán)重性評(píng)分為3.7)。
JSOF表示:
JSOF警告說(shuō):
據(jù)悉,JSOF將在8月的Black Hat USA虛擬大會(huì)上提供有關(guān)漏洞的更多詳細(xì)信息。
安全人士指出,Ripple20漏洞的影響預(yù)計(jì)與2019年7月披露的Urgent / 11漏洞類似,后者至今仍在調(diào)查中,業(yè)界至今仍在定期發(fā)現(xiàn)并修補(bǔ)新的漏洞設(shè)備。Urgent / 11漏洞影響了VxWorks實(shí)時(shí)操作系統(tǒng)的TCP / IP(IPnet)網(wǎng)絡(luò)堆棧,該系統(tǒng)是IoT和工業(yè)領(lǐng)域中廣泛使用的另一種產(chǎn)品。Ripple20漏洞的修補(bǔ)進(jìn)程可以參考Urgent/11,后者至今仍有很多產(chǎn)品未能修復(fù)補(bǔ)丁(因?yàn)楫a(chǎn)品報(bào)廢、供應(yīng)商停止運(yùn)營(yíng)、設(shè)備無(wú)法停機(jī)等原因)。
Treck本周一已經(jīng)發(fā)布了補(bǔ)丁,供OEM使用最新的Treck堆棧版本(6.0.1.67或更高版本)。現(xiàn)在的主要安全挑戰(zhàn)是如何讓如此多的企業(yè)盡快修復(fù)漏洞。除了ICS CERT,CERTCC和JPCERT / CC的建議之外,英特爾和惠普也發(fā)布了警報(bào)。
JSOF分析師稱:
Knudsen補(bǔ)充說(shuō),這屬于供應(yīng)鏈問(wèn)題,因此很多受影響的產(chǎn)品應(yīng)該能夠進(jìn)行自我更新,但是在IoT和工業(yè)控制領(lǐng)域,并非總是如此。
對(duì)于無(wú)法安裝補(bǔ)丁程序的用戶,CERT / CC和CISA ICS-CERT建議:
用戶還可以采取措施阻止異常IP流量,采用搶占式流量過(guò)濾,通過(guò)安全的遞歸服務(wù)器或DNS檢查防火墻對(duì)DNS進(jìn)行標(biāo)準(zhǔn)化,或提供具有DHCP偵聽等功能的DHCP / DHCPv6安全性。
研究人員總結(jié)說(shuō):
Synopsys的高級(jí)安全策略師Jonathan Knudsen指出:
最后,讓人擔(dān)憂的是,存在漏洞的軟件庫(kù)不僅由設(shè)備供應(yīng)商直接使用,而且還集成到大量其他軟件套件中,這意味著許多公司甚至都不知道他們正在使用存在漏洞的代碼。
