广泛的TCP / IP库中的零日漏洞使数百万的IoT设备容易受到远程攻击

19个漏洞–其中一些允许远程执行代码–在TCP / IP协议栈/库中发现了这种协议,该协议被广泛应用于各行各业的组织部署的数以亿计的IoT和OT设备中。

“受影响的供应商范围从一人精品店到财富500强跨国公司,包括HP,Schneider Electric,Intel,Rockwell Automation,Caterpillar,Baxter以及许多其他主要国际供应商,”发现缺陷的研究人员说。

缺陷TCP / IP库

关于易受攻击的TCP / IP软件库

易受攻击的库由​​位于美国的Treck和一家名为Elmic Systems(现为Zuken Elmic)的日本公司在1990年代开发。在某个时间点,两家公司分道扬each,各自继续开发堆栈/库的单独分支。

特雷克开发的一款– 特雷克 TCP/IP –在美国销售,另一种称为Kasago TCP / IP,由Zuken Elmic在亚洲销售。

图书馆’高可靠性,性能和可配置性使它如此受欢迎并得到广泛部署。

“[Treck TCP / IP]库可以按原样使用,可以配置为多种用途,也可以合并到更大的库中。用户可以购买源代码格式的库并进行大量编辑。它可以合并到代码中,并植入各种设备类型中,” the researchers 解释.

“原始购买者可以决定更名,或者可以由其他公司收购,而原始图书馆的历史记录会丢失在公司档案中。随着时间的流逝,原始库组件可能几乎变得无法识别。这就是为什么在确定并修复原始漏洞后很久仍存在漏洞的原因,因为跟踪供应链的踪迹实际上是不可能的。”

该漏洞是由JSOF的Moshe Kol和Shlomi Oberman在Treck TCP / IP库中发现的,Zuken Elmic确认其中一些漏洞影响了Kasago库。

关于漏洞

这些漏洞(称为CVE-2020-11896至CVE-2020-11914)合称为Ripple20,范围从严重到低风险。四个启用远程代码执行。其他方法可用于实现敏感信息的披露,(持久)拒绝服务等。

“严重漏洞之一是DNS协议中的漏洞,并且可能由老练的攻击者通过网络(位于网络边界之外,甚至在未连接到互联网的设备上)通过互联网加以利用,”研究人员指出。

“大多数漏洞都是真实的零日漏洞,其中的4个已在过去几年中作为例行代码更改的一部分被关闭,但在某些受影响的设备中仍处于打开状态(严重程度较低3,高1)。由于堆栈的可配置性和多年来的代码更改,许多漏洞都有几种变体。”

研究人员计划发布其中一些技术报告,并且 预定的 在八月份的美国黑帽大会上演示了利用Schneider Electric APC UPS设备上的DNS漏洞的利用。

协调披露

过去,Treck TCP / IP库没有得到安全研究人员的太多关注。在JSOF研究人员决定对其进行探查并发现缺陷之后,他们还发现与实现该方法的众多供应商联系将是一项耗时的工作。

特雷克意识到了漏洞并予以修复,但坚持要求自己与代码库的客户和用户联系,并直接提供适当的补丁程序。

但是,由于某些漏洞也影响了Kasago库,因此JSOF在披露过程中涉及多个国家计算机应急响应小组(CERT)组织和监管机构。

“CERT小组专注于识别和缓解安全风险的方法。例如,他们可以通过发布爆炸信息来触及更大范围的潜在用户目标群体,‘mass-mailings’他们广播给一长串参与公司,以通知他们潜在的漏洞。确定用户后,缓解措施就会发挥作用,”研究人员解释说。

“尽管最好的解决办法是安装原始的Treck补丁,但在许多情况下无法安装原始的补丁。 CERT致力于开发替代方法,即使无法选择打补丁,该方法也可用于最小化或有效消除风险。”

Ripple20漏洞因其影响程度而被戏称为。

“软件库的广泛传播(及其内部漏洞)是供应链的自然结果。‘ripple-effect’单个易受攻击的组件虽然本身可能相对较小,但可能会向外扩散以影响广泛的行业,应用程序,公司和人员,” they 注意到的.

“包含数’20’表示我们的公开流程始于2020年,同时还象征性地表示并尊重我们对从最初的19个中发现更多漏洞的可能性的信念,”他们告诉了Help Net Security。

研究人员指出,漏洞披露过程,他们自己识别Treck库用户的努力以及补丁/缓解措施的传播过程得到了Treck,各种CERT,CISA和多家安全厂商的大力帮助(前瞻, Cyber​​MDX)。

风险缓解

许多供应商已经证实,他们的产品受到Ripple20缺陷的影响。 JSOF有 编制清单 受影响和不受影响的供应商,这些信息会随着其他信息的获得而不断更新。

设备供应商应将Treck库更新为固定版本(6.0.1.67或更高版本),而组织应检查其网络中是否有受影响的设备,并与供应商联系以获取有关如何降低利用风险的更多信息。研究人员将根据要求提供脚本,以帮助公司在其网络上识别Treck产品。

“修复这些漏洞也面临着一系列挑战,即使它们已经在网络上被识别出来。有些已经有可用的补丁程序。但也有复杂的因素,”Forescout首席执行官兼总裁Michael DeCesare 注意到的.

“由于存在这些类型的供应链漏洞和嵌入式组件,因此创建补丁的供应商不一定会发布该补丁。这可能会延迟补丁的发布。也不能保证设备供应商仍在营业,或仍支持设备。供应链的复杂性也可能意味着该设备根本无法修补,即使它需要保留在网络上也是如此。在这种情况下,将需要减轻风险的控制措施(例如细分)以限制其风险。”

缓解建议已被 CERT / CCICS-CERT(CISA).

分享这个