近日,美国Treck公司开发的用于物联网设备的TCP/IP协议栈中被曝存在远程代码执行、信息泄露等高危漏洞。JSOF安全研究人员公开了TreckTCP/IP协议栈漏洞,并将其命名为Ripple20。
聚铭网络在了解Ripple20相关漏洞情况后,高度重视。经排查分析确认,聚铭网络全系列产品均未采用Treck公司开发的TCP/IP协议栈,不受该系列漏洞影响,聚铭网络特此说明,请广大客户放心使用!
事件背景
以色列网络安全研究机构JSOF实验室由一群专注于低级软件漏洞的研究人员组成,研究人员在Treck开发的TCP/IP软件库中发现并披露了19个名为“Ripple20”的一组漏洞。这些漏洞具有允许控制联网设备的潜力。
该批漏洞影响由TreckInc.开发的嵌入式物联网(IoT)TCP/IP软件库,TreckInc.是嵌入式Internet协议的开发商。该库可在70多家硬件供应商的大量设备中找到。全球数十亿台联网设备,从打印机和IP摄像机等消费类产品到跨企业使用的专用设备,例如视频会议系统和工业控制系统等,都面临攻击风险之中。
黑客可以利用其中的一些漏洞通过网络远程执行代码展开攻击,或在设备中隐藏恶意代码,可彻底损坏入侵设备,将在整个供应链行业中产生连锁反应。
这些漏洞是在本月早些时候披露的CVE--这一IP-in-IP数据包处理漏洞的披露之后的,它还影响了Treck开发的IoT设备TCP/IP库。随着时间的推移,影响不断扩大。
二影响分析
Treck开发的嵌入式TCP/IP软件库中存在Ripple20漏洞。这些库已被许多供应商生产的各种设备许可并使用。JSOF指出,由于后勤和法律原因,很难跟踪和识别所有可能受影响的供应商和设备。他们的披露详细说明了识别受影响的供应链有多么困难,因为潜在风险的范围是多种多样的。
CVE--是一个DNS漏洞,它使攻击者可以在重定向到恶意网址的设备上获得远程代码执行(RCE)。攻击者首先需要通过*害其DNS服务器或欺骗其他合法IP地址(例如设备更新服务器)来劫持设备的主机名解析。标准安全配置通常允许出站连接比入站连接具有更少的限制,从而允许利用这些漏洞产生更大的潜在影响。
CVE--、CVE--以及CVE--是由于将格式错误的数据包发送到已启用IP隧道的设备而导致的漏洞。JSOF通过发送格式错误的ICMP回显请求,从而在DigiConnectME上确认了CVE--,从而允许JSOF在设备上注入shellcode。攻击者可能会在易受攻击的设备上获得一致的RCE,或者导致拒绝服务(DoS),直到重置设备为止。
三解决方案
1、鼓励用户联系其设备供应商以获取支持和更新(如果有);
2、对于制造商不再支持的设备,用户可以升级到受支持的设备,或应用建议的缓解步骤。已经发布更新的供应商包括HP,Braun,Caterpillar,GHS和Rockwell。
3、用户还可以通过多种安全措施来缓解攻击。JSOF在披露页面上提供了一个列表,请更新到最新的Treck堆栈版本(6.0.1.67或更高版本)
此外,南京聚铭网络科技iNFA产品根据TreckTCP/IP漏洞利用原理制定网络流量检测策略,可以全面检测相关漏洞利用数据包,包括IP隧道、DHCP/DHCPv6、DNS等协议的利用或探测,欢迎有需要的客户前来咨询了解!
