Ripple20, eine Reihe von Sicherheitslücken im TCP / IP-Stack von Treck, die verschiedene Geräte betreffen

Darkcrizt

4 Minuten

Kürzlich haben die Nachrichten das verbreitet Im proprietären TCP / IP-Stack von Treck wurden etwa 19 Sicherheitslücken gefunden, die durch das Versenden speziell entwickelter Pakete ausgenutzt werden kann.

Die gefundenen Schwachstellen, wurden dem Codenamen Ripple20 zugeordnet Einige dieser Sicherheitsanfälligkeiten treten auch im KASAGO TCP / IP-Stack von Zuken Elmic (Elmic Systems) auf, der gemeinsame Wurzeln mit Treck hat.

Das Besorgniserregende an dieser Reihe von Schwachstellen ist, dass Der TCP / IP-Treck-Stack wird von vielen Geräten verwendet Industrie, Medizin, Kommunikation, Embedded und Consumer (von intelligenten Lampen über Drucker bis hin zu unterbrechungsfreien Stromversorgungen) sowie in den Bereichen Energie, Transport, Luftfahrt, Handel und Ölförderung.

Über Schwachstellen

Bemerkenswerte Ziele für Angriffe mit dem Treck TCP / IP-Stack Dazu gehören HP Netzwerkdrucker und Intel-Chips.

Die Einbeziehung von Problemen auf dem TCP / IP-Treck-Stack stellte sich als Grund für die Remote-Schwachstellen heraus Neu in den Intel AMT- und ISM-Subsystemen, die durch das Senden eines Netzwerkpakets ausgenutzt werden.

Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation und Schneider Electric bestätigten die Sicherheitslücken. Neben 66 anderen Herstellern, deren Produkte den Treck TCP / IP-Stack verwenden, die noch nicht auf die Probleme reagiert haben, gaben 5 Hersteller, darunter AMD, bekannt, dass ihre Produkte keinen Problemen unterliegen.

Bei der Implementierung wurden Probleme festgestellt der IPv4-, IPv6-, UDP-, DNS-, DHCP-, TCP-, ICMPv4- und ARP-Protokolle; und wurden durch fehlerhafte Verarbeitung der Parameter mit der Datengröße (unter Verwendung eines Feldes mit einer Größe ohne Überprüfung der tatsächlichen Größe der Daten), Fehler bei der Überprüfung der Eingabeinformationen, doppelter Speicher frei, gelesen von verursacht Ein Bereich außerhalb des Puffers, Ganzzahlüberläufe, falsche Zugriffssteuerung und Probleme bei der Verarbeitung von Zeichenfolgen mit einem Nulltrennzeichen.

Die Auswirkungen dieser Sicherheitsanfälligkeiten variieren aufgrund der Kombination von Kompilierungs- und Laufzeitoptionen, die bei der Entwicklung verschiedener eingebetteter Systeme verwendet werden. Diese Vielfalt an Implementierungen und die mangelnde Transparenz der Lieferkette haben das Problem der genauen Bewertung der Auswirkungen dieser Schwachstellen verschärft. 

Kurz gesagt, ein nicht authentifizierter Remoteangreifer kann speziell gestaltete Netzwerkpakete verwenden, um einen Denial-of-Service zu verursachen, Informationen preiszugeben oder beliebigen Code auszuführen.

Die zwei gefährlichsten Probleme (CVE-2020-11896, CVE-2020-11897)Mit einem CVSS-Level 10 kann ein Angreifer seinen Code auf dem Gerät ausführen, indem er IPv4 / UDP- oder IPv6-Pakete auf eine bestimmte Weise sendet.

Das erste kritische Problem tritt bei Geräten auf, die IPv4-Tunnel unterstützen, und das zweite bei IPv6-fähigen Versionen, die vor dem 4. Juni 2009 veröffentlicht wurden. Eine weitere kritische Sicherheitsanfälligkeit (CVSS 9) ist im DNS-Resolver (CVE-2020-11901) vorhanden ) und ermöglicht die Ausführung des Codes durch Senden einer speziell gestalteten DNS-Anfrage (das Problem wurde verwendet, um den APC-Hack von Schneider Electric UPS zu demonstrieren und wird auf Geräten mit DNS-Unterstützung angezeigt).

Während sich Sonstige Schwachstellen CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le Erlauben Sie, den Inhalt durch Senden von Paketen zu kennen speziell gestaltete IPv4 / ICMPv4-, IPv6OverIPv4-, DHCP-, DHCPv6- oder IPv6-Speicherbereiche des Systems. Andere Probleme können zu Denial-of-Service oder zum Verlust von Restdaten aus Systempuffern führen.

Die meisten Schwachstellen wurden behoben auf Treck 6.0.1.67 Release (CVE-2020-11897 Problem behoben am 5.0.1.35, CVE-2020-11900 am 6.0.1.41, CVE-2020-11903 am 6.0.1.28, CVE-2020-11908 am 4.7 1.27).

Da das Vorbereiten von Firmware-Updates für bestimmte Geräte zeitaufwändig oder unmöglich sein kann, da der Treck-Stack seit über 20 Jahren geliefert wird, wurden viele Geräte unbeaufsichtigt oder mühsam aktualisiert.

Administratoren wird empfohlen, problematische Geräte zu isolieren und die Normalisierung oder Blockierung in Paketinspektionssystemen, Firewalls oder Routern zu konfigurieren, Pakete zu fragmentieren, IP-Tunnel (IPv6-in-IPv4 und IP-in-IP) zu blockieren und die «zu blockieren Quell-Routing », Überprüfung falscher Optionen in TCP-Paketen aktivieren, nicht verwendete ICMP-Kontrollnachrichten blockieren (MTU-Aktualisierung und Adressmaske).


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   Manolin sagte
    vor 4-jährige

    Ich war gerade im Bergbau und mein PC ist kaputt, oder so sagten sie mir, ich kann es persönlich reparieren oder ich muss es nehmen Laptop Reparatur

    Antwort auf Manolin