0x01 事件背景
2020年06月29日,360CERT監測到Treck官方發布了Treck TCP/IPv4/IPv6 軟件庫的安全更新。
Treck TCP/IP 是專門為嵌入式系統設計的高性能TCP/IP協議處理套件。
此次安全更新發布了多個漏洞補丁,其中CVE編號有19個,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。針對這一系列漏洞,JSOF(漏洞發現者)對其命名為:Ripple20,19個漏洞都是內存損壞問題,漏洞類型主要為遠程代碼執行漏洞、拒絕服務漏洞和緩沖區溢出漏洞,原因是Treck的軟件庫對不同協議數據包處理錯誤而造成的(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太網鏈路層)。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
0x02 風險等級
360CERT對該事件的評定結果如下
0x03 漏洞詳情
- 該系列漏洞并非廣義的TCP/IP協議的漏洞;其危害不針對整個互聯網。
- 目前已公布的受影響的設備均為 IoT 設備,在 PC 設備領域沒有發現受到影響的設備。
- 該系列漏洞存在于 treck 公司開發的TCP/IP底層庫實現中。
- 根據 Ripple20 報告,該系列漏洞最高的危害是堆溢出造成遠程命令執行。
- 目前暫未統計出受影響的所有設備列表。
- 遠程命令執行需要構造復雜的系列數據包,利用難度非常高。
- 需要滿足特定條件才可觸發漏洞。
如果發現相關設備存在漏洞,請及時聯系設備廠商進行修復。或參考下方緩解措施。
部分漏洞可以造成的影響如下
部分漏洞核心問題點以及臨時緩解方案如下
0x04 影響版本
- Treck TCP/IP: <=6.0.1.66
0x05 修復建議
通用修補建議:
- 更新到 Treck TCP/IP 6.0.1.67 或更高版本。
臨時修補建議:
- 部署網絡掃描安全監測平臺,對內部網絡進行掃描監測,對披露的相關品牌資產進行識別,監測暴露的端口、協議接口等敏感信息。
- 部署網絡流量分析設備,進行深度數據包檢查,與網絡設備聯動丟棄錯誤的數據包。
- 部署 IDS/ IPS,對內部數據包進行簽名,拒絕非法通信數據包。
0x06 時間線
2020-06-17 JSOF發布通告
2020-06-29 360CERT發布通告
0x07 參考鏈接
- Overview- Ripple20
https://www.jsof-tech.com/ripple20/ - CVE-2020-11896 RCE CVE-2020-11898 Info Leak
https://www.jsof-tech.com/wp-content/uploads/2020/06/JSOF_Ripple20_Technical_Whitepaper_June20.pdf - CMU VU#257161 network mitigations
https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md
