新的 Ripple20 漏洞使數十億聯網設備面臨被黑客攻擊的風險

國土安全部和CISA ICS-CERT將發布一份重要的安全咨詢警告，內容是關于十幾個新發現的漏洞，這些漏洞影響了全球500多家供應商生產的數十億互聯網連接設備。

被稱為“Ripple20”的19個漏洞存在于Treck開發的低級TCP/IP軟件庫中，如果將其武器化，可以讓遠程攻擊者完全控制目標設備，而無需任何用戶交互。

以色列網絡安全公司JSOF發現了這些缺陷，根據該公司的說法，受影響的設備在各行各業都有使用，從家用/消費類設備到醫療、醫療保健、數據中心、企業、電信、石油、天然氣、核能、交通以及其他許多關鍵基礎設施。

“僅舉幾個例子:數據可能從打印機上被盜，輸液泵的行為改變，或者工業控制設備可能出現故障。研究人員在與《黑客新聞》分享的一份報告中稱:“攻擊者可以在嵌入式設備中隱藏惡意代碼多年。”

“其中一個漏洞可能導致從外部進入網絡邊界；這只是潛在風險的一小部分。”

Treck TCP/IP堆棧中有四個關鍵漏洞，CVSS得分超過9，攻擊者可以遠程在目標設備上執行任意代碼，還有一個關鍵漏洞會影響DNS協議。

“其他15個漏洞的嚴重程度各不相同，CVSS得分從3.1到8.2不等，影響范圍從拒絕服務到潛在的遠程代碼執行。”該報告稱。

由于代碼變化和堆棧可配置性，Treck或設備制造商多年來修補了一些Ripple20缺陷，出于同樣的原因，許多缺陷還有幾個變種，顯然在供應商進行全面的風險評估之前不會很快修補。

• CVE-2020-11896 (CVSS v3基本分數10.0):在處理未經授權的網絡攻擊者發送的數據包時，對IPv4/UDP組件中長度參數不一致的處理不當。此漏洞可能導致遠程代碼執行。

• CVE-2020-11897 (CVSS v3基本分數10.0):在處理未經授權的網絡攻擊者發送的數據包時，對IPv6組件中長度參數不一致的處理不當。此漏洞可能導致越界寫入。

• CVE-2020-11898 (CVSS v3基本分數9.8):在處理未經授權的網絡攻擊者發送的數據包時，對in IPv4組件中長度參數不一致的處理不當。此漏洞可能導致敏感信息泄露。

• CVE-2020-11899 (CVSS v3基礎分數9.8):當處理未經授權的網絡攻擊者發送的數據包時，IPv6組件中的輸入驗證不正確。此漏洞可能會泄露敏感信息。

• CVE-2020-11900 (CVSS v3基礎分數為9.3):在處理網絡攻擊者發送的數據包時，在IPv4隧道組件中可能出現雙倍自由。此漏洞可能導致遠程代碼執行。

• CVE-2020-11901 (CVSS v3基本分數9.0):在處理未經授權的網絡攻擊者發送的數據包時，在DNS解析器組件中輸入驗證不正確。此漏洞可能導致遠程代碼執行。

你可以在美國政府發布的公告中找到其余漏洞的詳細信息。

JSOF的網絡安全研究人員負責任地向Treck公司報告了他們的發現，隨后Treck公司用6.0.1.67或更高版本的TCP/IP協議棧修補了大部分缺陷。

研究人員還聯系了500多家受影響的半導體和器件制造廠商，包括HP、Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, and Quadros，其中許多廠商已經承認存在缺陷，其余廠商仍在上市前對其產品進行評估。

“在一些參與供應商要求更多時間后，披露被推遲了兩次，一些供應商表示與COVID-19有關的延遲。出于對這些公司的考慮，時間從90天延長到120多天。即便如此，一些參與公司變得難以應對，因為它們提出了額外的要求，而從我們的角度來看，一些公司似乎更關心自己的品牌形象，而不是修補漏洞，”研究人員說。

由于數百萬臺設備不會很快收到安全補丁更新來解決Ripple20漏洞，研究人員和ICS-CERT建議消費者和組織:

• 將所有控制系統設備和/或系統的網絡暴露降至最低，并確保它們不可從互聯網訪問。
• 在防火墻后定位控制系統網絡和遠程設備，并將其與業務網絡隔離。

除此之外，還建議使用虛擬專用網絡通過互聯網將您的設備安全地連接到基于云的服務。

在咨詢中，CISA還要求受影響的組織在部署防御措施之前進行適當的影響分析和風險評估。