一、参考资料
Ripple20 0day漏洞曝光,扫荡全球各行业数亿台联网设备
19 Zero-Day Vulnerabilities Amplified by the Supply Chain
Multiple Vulnerabilities in Treck IP Stack Affecting Cisco Products: June 2020
新的Ripple20漏洞使数十亿互联网连接设备面临被黑客入侵的风险
Ripple 20:Treck TCP / IP堆栈中的缺陷使数以百万计的物联网设备遭受攻击
二、简介
JSOF研究实验室在Treck.Inc开发的广泛使用的低级TCP / IP软件库中发现了一系列零日漏洞。这19个漏洞(名为Ripple20)影响亿万个设备(或更多), 并包含多个远程执行代码漏洞。 这种情况下固有的风险很高。 仅举几个例子:数据可能会从打印机上窃取,输液泵的行为发生改变或工业控制设备出现故障。 攻击者可能会在嵌入式设备中隐藏恶意代码多年。 其中一个漏洞可能使您可以从外部进入网络边界。 这只是潜在风险的一小部分。
The JSOF research lab has discovered a series of zero-day vulnerabilities in a widely used low-level TCP/IP software library developed by Treck, Inc. The 19 vulnerabilities, given the name Ripple20, affect hundreds of millions of devices (or more) and include multiple remote code execution vulnerabilities. The risks inherent in this situation are high. Just a few examples: data could be stolen off of a printer, an infusion pump behavior changed, or industrial control devices could be made to malfunction. An attacker could hide malicious code within embedded devices for years. One of the vulnerabilities could enable entry from outside into the network boundaries; and this is only a small taste of the potential risks.
Ripple20的有趣之处在于其影响的不可思议的程度,被供应链因素放大了。 软件库的广泛传播(及其内部漏洞)是供应链“涟漪效应”的自然结果。 单个易受攻击的组件虽然本身可能相对较小,但可以向外扩散以影响广泛的行业、应用程序、公司和人员。
The interesting thing about Ripple20 is the incredible extent of its impact, magnified by the supply chain factor. The wide-spread dissemination of the software library (and its internal vulnerabilities) was a natural consequence of the supply chain “ripple-effect”. A single vulnerable component, though it may be relatively small in and of itself, can ripple outward to impact a wide range of industries, applications, companies, and people.
Ripple20涉及了来自各个领域的关键物联网设备,涉及了众多供应商。 受影响的供应商范围从一人的精品店到财富500强跨国公司,包括惠普,施耐德电气,英特尔,罗克韦尔自动化,卡特彼勒,百特,以及许多其他在医疗,运输,工业控制方面被认为容易受到影响的主要国际供应商 ,企业,能源(石油/天然气),电信,零售和商业以及其他行业。
Ripple20 reached critical IoT devices from a wide range of fields, involving a diverse group of vendors. Affected vendors range from one-person boutique shops to Fortune 500 multinational corporations, including HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, as well as many other major international vendors suspected of being of vulnerable in medical, transportation, industrial control, enterprise, energy (oil/gas), telecom, retail and commerce, and other industries.
有关这两个漏洞及其利用的详细技术报告,请参阅CVE-2020-11896 / CVE-2020-11898白皮书(单击此处)。
A detailed technical report of two of the vulnerabilities and their exploitation can be found in the CVE-2020-11896/CVE-2020-11898 whitepaper (click here).
三、风险评估与缓解方案
Ripple20对仍在使用的设备构成重大风险。潜在的风险场景包括
- 如果网络面向互联网,则来自网络外部的攻击者将控制网络中的设备
- 已经设法渗透到网络中的攻击者可以使用库漏洞来针对网络中的特定设备
- 攻击者可以广播能够同时接管网络中所有受影响设备的攻击
- 攻击者可能利用受影响的设备作为隐藏在网络中多年的方法
- 复杂的攻击者可能会从网络边界外部对网络内的设备进行攻击,从而绕过NAT配置。 这可以通过执行MITM攻击或DNS缓存中毒来完成。
- 在某些情况下,攻击者可以通过绕过NAT答复离开网络边界的数据包来从网络外部执行攻击
在所有情况下,攻击者都可以远程控制目标设备,而无需用户干预。
JSOF建议采取措施以最小化或减轻设备开发的风险。 缓解方案取决于上下文。 设备供应商将采用与网络运营商不同的方法。 通常,我们建议执行以下步骤:
针对设备供应商
确定是否使用了易受攻击的Treck堆栈
联系Treck了解其中风险;
更新到最新的Treck堆栈版本(6.0.1.67或更高版本);
如果无法更新,请考虑禁用易受攻击的功能;
针对运营商和网络用户(基于CERT / CC和CISA ICS-CERT建议)
将所有设备更新为补丁程序版本;
如果无法更新设备,则可以:1、最小化嵌入式和关键设备的网络暴露,将暴露程度保持在最低水平,并确保除非绝对必要,否则无法从Internet访问设备。2、将OT网络和设备隔离在防火墙后,并将其与业务网络隔离。3、仅启用安全的远程访问方法。
阻止异常IP流量;
通过深度数据包检查来阻止网络攻击,以降低Treck嵌入式启用TCP / IP的设备的风险。
四、受影响的厂商
供应商列表已通过不同方式精心组合,代表了可能受影响的供应商。 该列表仅包含CISA ICS-CERT已在内部文档中列出并联系过的供应商。
每个供应商内部调查的状态由CISA ICS-CERT根据供应商的响应提供。 供应商表示他们没有受到影响也被记录下来,以用于问责目的和将来的查询,如果他们再次被提出为潜在受影响的产品。
受影响的产品列表可以在上面链接的供应商建议中找到,也可以直接从供应商处找到。
该列表将不时更新。 任何希望报告其他状态或认为有错误的供应商都可以通过协调机构或发送电子邮件至Ripple20@jsof-tech.com进行报告。
以下供应商受到影响或可能受到影响。
(供应商列表的最新更新:2020年7月23日; 美国东部时间上午04:10)
ABB Green Hills Software Smiths Medical Aruba Networks HCL Tech Teradici B. Braun HP Xeroex Baxter HPE Zuken Elmic CareStream Intel Cater pillar Maxlinear Cisco Miele Dell Opto22 Digi International Rockwell Automation Eaton Schneider Electric
Status: Pending (71)
Status: Not Affected (25)
五、Ripple 20 漏洞演示
[原创]Ripple20漏洞在工控设备上Demo-『智能设备』-看雪安全论坛
722
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
