通告編号:NS-2020-0039
2020-06-30
| TAG: | Treck、TCP/IP協定庫、Ripple20 |
|---|---|
| 漏洞危害: | 攻擊者利用此類漏洞,可造成拒絕服務、遠端代碼執行等。 |
| 版本: | 1.0 |
1
漏洞概述
近日,以色列網絡安全公司JSOF的研究人員在Treck公司開發的底層 TCP/IP 軟體庫中發現了19個0day漏洞,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。這些漏洞被JSOF命名為“Ripple20”。
Treck TCP/IP是專門為嵌入式系統設計的高性能TCP/IP協定套件,這一系列漏洞都為記憶體損壞問題,源于使用不同協定(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太網鍊路層)在網絡上發送的資料包的處理錯誤。“Ripple20”影響廣泛領域的物聯網裝置,涉及HP、Schneider Electric、Cisco、Rockwell Automation、Caterpillar、Baxter等衆多供應商,可能導緻loT裝置受到拒絕服務和遠端指令執行等攻擊。
漏洞原理分析請參閱部落格:http://blog.nsfocus.net/ripple20-0624/
參考連結:
https://treck.com/vulnerability-response-information
https://www.jsof-tech.com/ripple20
SEE MORE →
2影響範圍
受影響版本
- Treck TCP/IP = 6.0.1.66
- Treck TCP/IP = 6.0.1.41
- Treck TCP/IP = 6.0.1.28
- Treck TCP/IP = 5.0.1.35
- Treck TCP/IP = 4.7.1.27
不受影響版本
- Treck TCP/IP >= 6.0.1.67
3漏洞檢測
3.1 版本檢測
可通過針對代碼資産進行核查,看是否使用了Treck的相關代碼,并從源代碼中檢視軟體版本是否在受影響範圍。
針對二進制庫檔案,可以使用如下指令檢視庫檔案的版本,确定是否使用了受影響的版本。
| strings 驅動名稱 | grep -e "[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}" |
|---|
3.2 産品檢測
3.2.1 遠端安全評估系統(RSAS)
綠盟科技遠端安全評估系統(RSAS)已具備針對Treck協定的檢測能力,請有部署裝置的使用者更新至最新版本使用。
| 更新包版本号 | 更新包下載下傳連結 | |
|---|---|---|
| RSAS V6 系統插件包 | V6.0R02F01.1901 | http://update.nsfocus.com/update/downloads/id/106109 |
關于RSAS的配置指導,請參考如下連結:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
3.2.2 物聯網準入網關
綠盟科技物聯網準入網關,可以對物聯網裝置進行主動探測發現,形成物聯網裝置資産庫,并能通過對流量進行分析,形成攻擊畫像。
本次更新Treck漏洞指紋庫後,可以主動探測内網使用Treck協定棧的物聯網裝置,并對這類裝置産生告警。
針對發現有Treck漏洞的裝置,如果發生攻擊行為,物聯網準入網關,還可以對裝置進行網絡阻斷。
3.3 本地關聯檢測
綠盟科技威脅情報中心第一時間收錄了此次漏洞的詳細資訊,包括漏洞成因、受影響的産品版本和解決方案等。漏洞CPE字段包括了可機讀的影響産品字段,可以與使用者本地資産管理庫進行關聯,進而識别是否存在有影響的裝置。
4漏洞防護
4.1 官方更新
目前官方已在最新版本中修複了該漏洞,請相關使用者排查基于Treck公司TCP/IP協定的裝置使用情況,并及時更新至6.0.1.67或更高版本。
4.2 其他防護措施
1、加強網絡通路控制,禁止非必要裝置接入網際網路。設定網絡安全防護政策,僅啟用安全的遠端通路,禁用IP隧道和IP源路由功能、強制執行TCP檢查、阻斷未使用的ICMP控制消息等。針對物聯網裝置,禁止IP_IN_IP的通路方式。
2、通過深度資料包檢查阻止異常IP流量,使用Suricata IDS自定義規則檢測利用Ripple20漏洞的異常IP流量。
如果使用的防護裝置可以自定義規則,則可添加如下規則進行防護:
| #IP-in-IP tunnel with fragmentsalert ip any any -> any any (msg:"VU#257161:CVE-2020-11896 Fragments inside IP-in-IP tunnel"; ip_proto:4; fragbits:M; rev:1;) |
|---|
檢測規則下載下傳位址:https://github.com/CERTCC/PoC-Exploits/tree/master/vu-257161
3、請相關使用者關注物聯網裝置廠商的軟體更新公告,及時更新系統到最新版本。
5綠盟涉及情況說明
近日,在擷取到“Ripple20”漏洞的情況後,我司高度重視,第一時間組織了公司各産品線對所屬産品進行排查。經過公司産品、研發、技術人員的檢測,确定我司所有産品不受“Ripple20”漏洞影響,特此說明,請客戶放心使用。
綠盟科技将持續跟進“Ripple20”漏洞的最新動态,請您關注綠盟科技的官網、官微的公告内容。如有問題,您可以通過以下方式聯系我們:
| 業務類型 | 支援熱線 | 服務時間 | |
|---|---|---|---|
| 安全産品與平台售後服務 | 400-818-6868 轉接 013321167330 | [email protected] | 周一至周日7×24 小時全天服務 |
| 雲安全服務 | 400-818-6868 轉接 2 | [email protected] | |
| 購買咨詢 | 400-818-6868 轉接 1 | [email protected] |
您也可以通過公司官網進行線上咨詢:https://www.nsfocus.com.cn/html/6/61/169
END
作者:綠盟科技威脅對抗能力部
聲明
本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。
綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部内容。未經綠盟科技允許,不得任意修改或者增減此安全公告内容,不得以任何方式将其用于商業目的。