數百萬 IoT 設備遭受 TCP / IP 庫中零日漏洞遠程攻擊
在TCP / IP堆棧/庫中發現了19個漏洞(其中一些漏洞允許遠程執行代碼),這些漏洞存在于各行各業組織部署的數億個IoT和OT設備。
研究人員稱:“受影響的供應商范圍從小型商店到財富500強跨國公司,包括惠普、施耐德電氣、英特爾、羅克韋爾自動化、卡特彼勒、百特以及許多其他主要的國際供應商。”
關于易受攻擊的TCP / IP軟件庫
易受攻擊的庫由??位于美國的Treck和一家名為Elmic Systems(現為Zuken Elmic)的日本公司在1990年代開發。后期,兩家公司分道揚鑣,各自繼續開發單獨的堆棧/庫分支。
Treck開發的一種產品-Treck TCP / IP –在美國銷售,另一種名為Kasago TCP / IP的產品則由Zuken Elmic在亞洲銷售。
庫的高可靠性,性能和可配置性使它被廣泛部署。
“ Treck TCP / IP庫可以按原樣使用,可以配置為多種用途,也可以合并到更大的庫中。用戶可以以源代碼格式購買該庫并進行大量編輯。可以將其合并到代碼中,并植入各種類型的設備中。”研究人員解釋說。
“原始購買者可以決定更名,或者可以由其他公司收購,而原始庫中的歷史記錄會丟失在公司檔案中。隨著時間的流逝,原始的庫組件可能幾乎無法識別。這就是為什么在發現并修補原始漏洞很長時間之后,仍然可能仍然存在漏洞,因為跟蹤供應鏈的蹤跡實際上是不可能的。”
該漏洞是由JSOF的Moshe Kol和Shlomi Oberman在Treck TCP / IP庫中發現的,Zuken Elmic確認其中一些影響了Kasago庫。
關于漏洞
這些漏洞(編號為CVE-2020-11896至CVE-2020-11914)合稱為Ripple20,范圍從嚴重到低風險。四個啟用遠程代碼執行。其他方法可用于實現敏感信息的披露,(持久)拒絕服務等。
研究人員指出:“關鍵漏洞之一是DNS協議中的漏洞,它可能被攻擊者通過Internet從網絡邊界之外甚至在未連接到Internet的設備上利用。”
“大多數漏洞都是真實的零日漏洞,多年來,其中的4個漏洞已作為常規代碼更改的一部分而關閉,但在某些受影響的設備中仍處于打開狀態(嚴重程度較低3,高1)。由于多年以來的堆棧可配置性和代碼更改,許多漏洞具有多種變體。”
研究人員計劃發布其中一些技術報告,并計劃于8月在美國黑帽公司(Black Hat USA)的施耐德電氣APC UPS設備上演示DNS漏洞的利用。
協調披露
過去,Treck TCP / IP庫沒有得到安全研究人員的太多關注。在JSOF研究人員決定對其進行探查并發現缺陷之后,他們還發現與實現該方法的眾多供應商聯系將是一項耗時的工作。
Treck意識到了漏洞并加以修復,但堅持要求自己與代碼庫的客戶和用戶聯系,并直接提供適當的補丁程序。
但是,由于某些漏洞也影響了Kasago庫,因此JSOF在披露過程中涉及多個國家計算機應急響應小組(CERT)組織和監管機構。
“ CERT小組專注于識別和減輕安全風險的方法。例如,他們可以通過爆炸性公告,“大眾郵件”將其廣播到一長串參與公司名單中,從而將潛在的漏洞通知他們,從而將潛在用戶的目標群體擴大到更大。一旦確定了用戶,便可以一定程度上緩解風險。”研究人員解釋說。
“雖然最好的解決辦法是安裝原始的Treck補丁,但在許多情況下無法安裝原始的補丁。CERT致力于開發替代方法,即使無法選擇打補丁,該方法也可用于最小化或有效消除風險。”
軟件庫的廣泛傳播(及其內部漏洞)是供應鏈漣漪效應’’的自然結果。單個易受攻擊的組件盡管其本身可能相對較小,但可能會起波紋并影響廣泛的行業,應用程序,公司和人員。”
他們告訴Help Net Security:“數字’20’表示我們從2020年開始披露程序,同時進一步象征并尊重我們的信念,即從最初的19個中可以發現其他漏洞的可能性。”
風險緩解
許多供應商已經確認他們的產品受到Ripple20漏洞的影響。JSOF已編制了受影響和不受影響的供應商的列表,該列表將不斷更新。
設備供應商應將Treck庫更新為固定版本(6.0.1.67或更高版本),而組織應檢查其網絡中是否存在受影響的設備,并與供應商聯系以獲取有關如何降低風險的更多信息。研究人員將應要求提供腳本,以幫助公司在其網絡上識別Treck產品。
解決這些漏洞帶來了自己的挑戰,即使已經在網絡上將其識別出來。有些已經有可用的補丁程序。但是仍存在困難,” Forescout首席執行官兼總裁Michael DeCesare 指出。
“由于存在這些類型的供應鏈漏洞和嵌入式組件,正在創建補丁的供應商不一定會發布該補丁。這可能會延遲補丁的發布。也不能保證設備供應商仍在營業,或仍支持設備。供應鏈的復雜性質也可能意味著該設備根本無法修補,即使它需要保留在網絡上也是如此。在這種情況下,需要采用細分等緩解措施來限制其風險。”
