Fa poc es va donar a conèixer la notícia que van ser trobades prop de 19 vulnerabilitats a la pila TCP / IP patentada de Treck, Les quals poden ser explotades mitjançant l'enviament de paquets especialment dissenyats.
Les vulnerabilitats trobades, van ser assignades a el nom en codi Ripple20 i algunes d'aquestes vulnerabilitats també apareixen a la pila KASAGO TCP / IP de Zuken Elmic (Elmic Systems), que comparteix arrels comunes amb Treck.
El preocupant d'aquesta sèrie de vulnerabilitats trobades, és que la pila TCP / IP Treck s'utilitza en molts dispositius industrials, metges, de comunicació, integrats i de consum, des de llums intel·ligents fins impressores i fonts d'alimentació ininterrompuda), així com en equips d'energia, transport, aviació, comerç i producció de petroli.
Sobre les vulnerabilitats
Els objectius notables per als atacs que fan servir la pila Treck TCP / IP inclouen impressores de xarxa HP i xips Intel.
La inclusió de problemes a la pila Treck TCP / IP va resultar ser la raó de les vulnerabilitats remotes recents en els subsistemes Intel AMT i ISM explotats mitjançant l'enviament d'un paquet de xarxa.
Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation i Schneider Electric van confirmar les vulnerabilitats. A més de que altres 66 fabricants, els productes fan servir la pila Treck TCP / IP, encara no han respost als problemes, 5 fabricants, inclòs AMD, van anunciar que els seus productes no estaven subjectes a problemes.
Els problemes es van trobar en la implementació dels protocols IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 i ARP, i van ser causats pel processament incorrecte dels paràmetres amb la mida de les dades (usant un camp amb una mida sense verificar la mida real de les dades), errors a l'verificar la informació d'entrada, doble alliberament de memòria, llegir des una àrea fora de la memòria intermèdia, desbordaments de sencers, control d'accés incorrecte i problemes a l'processar cadenes amb un separador zero.
L'impacte d'aquestes vulnerabilitats variarà a causa de la combinació de les opcions de compilació i temps d'execució utilitzades a l'desenvolupar diferents sistemes integrats. Aquesta diversitat d'implementacions i la manca de visibilitat de la cadena de subministrament han exasperat el problema d'avaluar amb precisió l'impacte d'aquestes vulnerabilitats.
En resum, un atacant remot no autenticat pot usar paquets de xarxa especialment dissenyats per a causar una denegació de servei, revelar informació o executar codi arbitrari.
Els dos problemes més perillosos (CVE-2020-11896, CVE-2020-11897), Als quals se'ls assigna el nivell de CVSS 10, li permeten a un atacant poder executar el seu codi en el dispositiu enviant paquets IPv4 / UDP o IPv6 de certa manera.
El primer problema crític apareix en dispositius amb suport per túnels IPv4, i el segon en versions habilitades per IPv6 llançades abans de el 4 de juny de 2009. Una altra vulnerabilitat crítica (CVSS 9) està present en el solucionador de DNS (CVE-2020-11901 ) i permet que el codi s'executi enviant una sol·licitud de DNS especialment dissenyada (el problema es va usar per demostrar el pirateig d'UPS APC de Schneider Electric i apareix en dispositius amb suport de DNS).
Mentres que altres vulnerabilitats CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le permeten conèixer el contingut mitjançant l'enviament de paquets especialment dissenyats d'IPv4 / ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 o IPv6 àrees de memòria de sistema. Altres problemes poden portar a la denegació de servei o la fuga de dades residuals de les memòries intermèdies de el sistema.
La majoria de les vulnerabilitats es van solucionar en el llançament de Treck 6.0.1.67 (el problema CVE-2020-11897 es va corregir en 5.0.1.35, CVE-2020-11900 en 6.0.1.41, CVE-2020-11903 en 6.0.1.28, CVE-2020-11908 a 4.7 . 1.27).
Atès que la preparació d'actualitzacions de firmware per a dispositius específics pot demorar-se o ser impossible, ja que la pila Treck s'ha subministrat durant més de 20 anys, molts dispositius s'han deixat desatesos o són problemàtics per actualitzar.
S'aconsella als administradors aïllar els dispositius problemàtics i configurar la normalització o el bloqueig en els sistemes d'inspecció de paquets, tallafocs o encaminadors paquets fragmentats, bloquegen túnels IP (IPv6-in-IPv4 i IP-in-IP), bloquegen el « enrutament d'origen », activen la inspecció d'opcions incorrectes en paquets TCP, bloquegen missatges de control ICMP no utilitzats (MTU Update i Address Mask).
Just estava minant RIPLE i es em va fotre el PC, o això em van dir, podre arreglar jo personalment o hauré de portar-lo a reparació portàtils