來自JSOF的網絡安全研究人員剛剛公布了19個名為Ripple20的漏洞，這些漏洞正在影響Treck開發的TCP/IP協議棧。該軟件棧集成到醫療保健、運輸、制造、電信和能源市場中使用的數百萬個系統中，潛在地影響大量組織和關鍵行業。

這些漏洞與2019年發布的影響Interpeak開發的TCP/IP棧的緊急/11漏洞類似。和Urgent/11一樣，Ripple20漏洞允許攻擊者觸發遠程代碼執行和拒絕服務(DoS)。許多供應商，如HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter和其他公司已經證實受到了Ripple20的影響。

專為工業環境設計的Cisco IoT解決方案不受Ripple20的影響。實際上，諸如Cisco Cyber?? Vision和Cisco工業安全設備ISA3000之類的產品以及Cisco Talos的 Snort簽名將有助于識別網絡中的Ripple20漏洞并補救風險。某些思科產品容易受到攻擊，你可以閱讀思科的官方公告。

Treck成立于1997年，致力于為實時嵌入式系統開發協議棧。許多設備供應商都使用它，因為此軟件為通常具有有限內存或處理能力的IoT設備提供了優化的性能。它以源代碼的形式出售，使供應商可以輕松地僅集成所需的協議層并針對特定應用對其進行修改。

因此，這取決于制造商如何對這些庫進行專業化和集成，它們實際上可能變得無法識別。此外，隨著制造商被收購，一些制造商可能已經失去了這種軟件組件的了解，這使得識別受影響的產品變得相當困難。

另一個重要的事實是Treck和日本公司Elmic System(今天的Zuken Elmic)過去的合作。這種合作產生了兩個類似的TCP/IP棧，由每個出版商獨立維護，并在不同地區銷售，一個在美國市場，一個在亞洲市場。一些Ripple20漏洞也會影響Zuken Elmic維護的TCP/IP棧。

快速處理Ripple20！

Ripple20包含一系列19個漏洞。其中有4個至關重要，CVSS嚴重性等級得分超過9。這些問題應予以迅速解決，因為它們可被用于任意遠程代碼執行，拒絕服務攻擊和信息泄露。

CVE-2020-11901可能是最嚴重的漏洞。可以通過回答來自設備的DNS請求來觸發它，并可能導致遠程執行代碼。由于DNS請求通常斷開網絡，因此可以很容易地攔截它們，從而為攻擊者提供了一種方法。此外，為利用此漏洞而發送的數據包將符合各種RFC，從而使防火墻很難檢測到攻擊。

在IoT / OT網絡中檢測Ripple20

JSOF估計，由于許多供應商已將Treck TCP / IP協議棧的全部或部分集成到了他們開發的系統中，因此Ripple20漏洞可能會影響數十億個設備。CISA ICS-CERT已建立了受影響的供應商列表，可以通過官方網站查詢。

雖然受影響供應商的詳細信息和列表仍在不斷出現，但可以采取一些步驟來幫助識別和防范這些漏洞。

隨著供應商發布安全公告來確定他們的哪些產品受到影響，同時思科將繼續更新Cyber?? Vision知識庫，以便可以發現您受影響的資產。Cisco Cyber?? Vision是專門設計用于檢測針對IoT / OT設備的攻擊的解決方案。它會自動發現您的工業網絡的最小細節，并構建全面的資產清單，突出顯示已知漏洞，例如Ripple20。

Cyber?? Vision知識庫經常更新，并免費提供給所有Cyber?? Vision客戶。如果你還尚未安裝，建議現在可以通過官網下載安裝它的最新版本。

由于Ripple20漏洞的性質以及受影響的設備類型，您可能無法修補易受攻擊的資產–或您可能永遠不知道某些資產易受攻擊。為了保護您的權益，可以采取一些替代措施。

如何立即保護自己

在短期內，您可以利用入侵檢測系統（IDS）來檢測和警告利用這些漏洞的嘗試。可以利用Cisco Talos制定的規則，使用SNORT IDS引擎配置Cisco Cyber?? Vision 。在思科工業安全設備ISA3000提供相同的IDS，再加上阻止這些行為，形成一個堅固耐用的保護盾，將其在工業設備一起被部署。

ISA3000適合細分工業網絡和孤立的資產。這將可以遏制潛在的攻擊，并且不會擴散到整個網絡。

JSOF還提供了許多其他補救建議，您也可以使用ISA3000實現這些建議。這些功能包括阻塞IP片段、阻塞IP隧道中的IP、拒絕錯誤格式的TCP數據包、阻塞未使用的ICMP消息、限制DHCP流量以及限制環境中意外的和不需要的通信和協議。