当前位置:首页 > 安全预警 > 正文

Treck TCP/IP协议库“ Ripple20”漏洞预警

发布时间:2020-07-01 11:40:43,来源:绿盟科技、深信服

一、基本情况

近日,国外网络安全公司研究人员在Treck,Inc.开发的TCP/IP软件库中发现了19个0day漏洞,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914这些漏洞被JSOF命名为“Ripple20”。

由于TCP/IP软件库应用广泛,该漏洞的影响在整个供应链行业中产生连锁反应,漏洞的利用风险及破坏性被扩大,影响高达数亿的物联网设备。

二、漏洞分析

1.漏洞描述

Ripple20是在Treck TCP / IP堆栈上发现的19个漏洞的集合。Ripple20漏洞中有四个被评为严重,CVSS得分超过9,可实现远程代码执行。关键漏洞之一是DNS协议中的漏洞,可能由攻击者通过互联网(甚至在未连接到互联网的设备上)从网络边界进行攻击。其他15个漏洞的严重性程度不同,CVSS评分从3.1到8.2不等,其影响从拒绝服务到潜在的远程代码执行。

 由于供应链效应,Ripple20漏洞在影响的广度和深度方面都是独特的,它允许攻击者绕过NAT和防火墙,在不需要用户交互的情况下控制设备。这是因为漏洞位于低级TCP / IP堆栈中,并且对于许多漏洞而言,发送的数据包非常类似有效数据包,或者在某些情况下是完全有效的数据包,从而使攻击作为合法流量通过。

2. 严重漏洞说明

image.png 

3. 潜在风险

Ripple20对仍在使用的设备构成重大风险。潜在的风险包括:

  • 如果受影响设备面向互联网开放,攻击者可从网络外部控制网络内的设备。

  • 已经渗透到网络中的攻击者可以使用库漏洞来攻击网络中的特定设备。

  • 攻击者可以通过广播攻击网络中所有受影响设备。

  • 攻击者可能会从网络边界之外对网络内的设备执行攻击,从而绕过NAT配置。这可以通过执行MITM攻击或DNS缓存中毒来实现。

  • 在某些情况下,攻击者可以通过响应离开网络边界的数据包,绕过NAT,从网络外部执行攻击。

 三、影响范围

受影响版本

Treck TCP/IP = 6.0.1.66

Treck TCP/IP = 6.0.1.41

Treck TCP/IP = 6.0.1.28

Treck TCP/IP = 5.0.1.35

Treck TCP/IP = 4.7.1.27 

不受影响版本

Treck TCP/IP >= 6.0.1.67

四、缓解措施

1、官方升级

目前官方已在最新版本中修复了该漏洞,请相关用户排查基于Treck公司TCP/IP协议的设备使用情况,并及时升级至6.0.1.67或更高版本。

2、其他防护措施

(1)加强网络访问控制,禁止非必要设备接入互联网。设置网络安全防护策略,仅启用安全的远程访问,禁用IP隧道和IP源路由功能、强制执行TCP检查、阻断未使用的ICMP控制消息等。针对物联网设备,禁止IP_IN_IP的访问方式。

(2)通过深度数据包检查阻止异常IP流量,使用Suricata IDS自定义规则检测利用Ripple20漏洞的异常IP流量。

如果使用的防护设备可以自定义规则,则可添加如下规则进行防护:

#IP-in-IP tunnel with fragments

alert ip any any -> any any (msg:"VU#257161:CVE-2020-11896 Fragments inside IP-in-IP tunnel"; ip_proto:4; fragbits:M; rev:1;)

检测规则下载地址:https://github.com/CERTCC/PoC-Exploits/tree/master/vu-257161

 (3)请相关用户关注物联网设备厂商的软件更新公告,及时更新系统到最新版本。

五、参考链接

(1)https://www.jsof-tech.com/ripple20/

(2)https://www.zdnet.com/article/ripple20-vulnerabilities-will-haunt-the-iot-landscape-for-years-to-come/#ftag=RSSbaffb68

(3)https://treck.com/vulnerability-response-information