漏洞公告
近日,Treck官方发布了TCP/IPv4/v6关联协议的安全更新,此次补丁修复了一组高危漏洞,CVE编号有19个(CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914),针对这一系列漏洞,JSOF(漏洞发现者)对其命名为:Ripple20,漏洞主要为远程代码执行和拒绝服务等缓冲区溢出漏洞,相关链接参考:
https://treck.com/vulnerability-response-information/
https://www.jsof-tech.com/ripple20/
根据公告,在Treck TCP/IP协议库6.0.1.66之前版本中存在大量缓冲区溢出漏洞,由于该协议库被大量设备厂商引用(比如:Cisco、Digi International、Hewlett Packard Enterprise、HP Inc.、Intel、Schneider Electric等目前已经确认受影响的有接近20个厂商),因此漏洞影响范围较广,在CVE-2020-11896、CVE-2020-11897 、CVE-2020-11901漏洞测试利用中,研究人员成功的在Schneider Electric APC UPS设备和Digi International设备上实现代码执行以及拒绝服务等效果,建设及时排查网络内是否有受影响的设备并做好补丁测试和更新。
1
影响范围
Treck TCP/IP协议库Ripple20漏洞除了影响Treck自身产品外,还大量影响使用该协议库的厂商,主要包括:
Treck TCP/IP 6.0.1.66之前版本,建议更新到6.0.1.67以上版本
影响其他厂商部分列表(持续更新)
Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC
Digi
https://www.digi.com/resources/security
HPE
https://support.hpe.com/hpesc/public/km/Security-Bulletin-Library
HP
https://support.hp.com/us-en/document/c06640149(打印机)
https://support.hp.com/us-en/document/c06655639(PC/笔记本)
持续更新完整列请参考:
https://www.jsof-tech.com/ripple20/(Affected Vendors章节,6月23日更新)
2
漏洞描述
根据分析,Treck TCP/IP协议库包含IPv4、IPv6、UDP、DNS、DHCP、TCP、ICMPv4、ARP等协议的实现,此次漏洞涉及多种协议,具体如下:
CVE-2020-11896:可对支持IPv4隧道的设备进行远程代码执行攻击;
CVE-2020-11897:可对支持IPv6协议的设备进行远程代码执行攻击;
CVE-2020-11901:可对支持DNS协议的设备进行远程代码执行攻击;
CVE-2020-11898:IPv4/ICMPv4协议组件可能存在信息泄露漏洞;
CVE-2020-11900:IPv4隧道组件可能存在内存释放后重用漏洞;
CVE-2020-11902:IPv6OverIPv4隧道组件可能存在越界读取漏洞;
研究人员已发布CVE-2020-11896/CVE-2020-11898漏洞的详细分析,请参考:
https://www.jsof-tech.com/wp-content/uploads/2020/06/JSOF_Ripple20_Technical_Whitepaper_June20.pdf
3
缓解措施
高危:目前漏洞细节已经部分公开,建议及时跟设备厂商确认并关注厂商安全更新公告,或采取临时缓解措施加固系统。
解决方案:
1、部署物联网安全监测平台,对内部网络进行扫描监测,对披露的相关品牌资产进行识别,监测暴露的端口、协议接口等敏感信息;
2、通过部署网络流量分析设备深度数据包检查功能来缓解或阻止网络攻击,与网络设备联动丢弃格式错误的数据包。
3、通过在物联网设备上部署物联网安全心产品,针对性的配置拒绝非法IP通信数据包、禁用或阻止IP隧道、并启用安全策略拦击恶意攻击等。
缓解措施参考链接:
https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md
安恒应急响应中心
2020年6月