Ripple20 - seeria haavatavusi Trecki TCP / IP-korstnas, mis mõjutab erinevaid seadmeid

Hiljuti teade sellest Trecki patenteeritud TCP / IP-korstnast leiti umbes 19 haavatavust, mida saab kasutada spetsiaalselt selleks loodud pakettide saatmisega.

Leitud haavatavused määrati koodnimele Ripple20 ja mõned neist haavatavustest ilmnevad ka Zuken Elmicu (Elmic Systems) KASAGO TCP / IP virnas, millel on Treckiga ühised juured.

Selle leitud haavatavuste seeria puhul on murettekitav see TCP / IP Trecki korstnat kasutavad paljud seadmed tööstuse, meditsiini, side, sisseehitatud ja tarbijate jaoks, alates nutitelampidest kuni printerite ja katkematu toiteallikateni), samuti energia-, transpordi-, lennundus-, kaubandus- ja naftatootmisseadmetes.

Teave haavatavuste kohta

Treck TCP / IP korstnat kasutavate rünnakute märkimisväärsed sihtmärgid nende hulka kuuluvad HP võrguprinterid ja Inteli kiibid.

Probleemide kaasamine TCP / IP Trecki korstnas osutus kaughaavatavuste põhjuseks Viimased Inteli AMT ja ISM alamsüsteemides, mida võrgupakettide saatmine ära kasutab.

Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation ja Schneider Electric kinnitasid haavatavusi. Lisaks 66-le muule tootjale, kelle tooted kasutavad Trecki TCP / IP-korstnat, pole probleemidele veel vastatud, teatas 5 tootjat, sealhulgas AMD, et nende toodetel pole probleeme.

Rakendamisel leiti probleeme protokollide IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 ja ARP protokollid, ja need olid põhjustatud parameetrite valest töötlemisest koos andmesuurusega (suurusega välja kasutamine ilma andmete tegelikku suurust kontrollimata), vigadest sisendteabe kontrollimisel, topeltmäluvaba, puhvrist väljapoole loetud , täisarvude ülevool, vale juurdepääsu kontroll ja probleemid null eraldajaga stringide töötlemisel.

Nende haavatavuste mõju varieerub erinevate manustatud süsteemide väljatöötamisel kasutatavate kompileerimis- ja käitamisvalikute kombinatsiooni tõttu. Rakenduste mitmekesisus ja tarneahela nähtamatus on veelgi süvendanud nende haavatavuste mõju täpse hindamise probleemi. 

Lühidalt öeldes võib autoriseerimata kaugründaja teenuse keelamise, teabe avaldamise või suvalise koodi käivitamiseks kasutada spetsiaalselt väljatöötatud võrgupakette.

Kaks kõige ohtlikumat küsimust (CVE-2020-11896, CVE-2020-11897), millele on määratud CVSS-tase 10, võimaldavad ründajal oma seadmes koodi täita, saates IPv4 / UDP- või IPv6-pakette teatud viisil.

Esimene kriitiline probleem ilmneb seadmetes, mis toetavad IPv4 tunneleid, ja teine ​​IPv6-toega versioonide puhul, mis ilmusid enne 4. juunit 2009. Teine kriitiline haavatavus (CVSS 9) on olemas DNS-lahenduses (CVE-2020-11901) ja võimaldab kood, mida käivitada spetsiaalselt koostatud DNS-päringu esitamise kaudu (probleemi kasutati Schneider Electric UPS APC häkkimise demonstreerimiseks ja see ilmub seadmetes, millel on DNS-i tugi).

Kuigi muud haavatavused CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le pakettide saatmisega sisu tundmaõppimine spetsiaalselt loodud süsteemi IPv4 / ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 või IPv6 mälupiirkonnad. Muud probleemid võivad põhjustada teenuse keelamise või jääkandmete lekkimise süsteemipuhvritest.

Suurem osa haavatavustest kõrvaldati Treck 6.0.1.67 väljalaske kohta (CVE-2020-11897 väljaanne fikseeritud 5.0.1.35, CVE-2020-11900 6.0.1.41, CVE-2020-11903 6.0.1.28, CVE-2020-11908 4.7. 1.27).

Kuna konkreetsete seadmete püsivara värskenduste ettevalmistamine võib olla aeganõudev või võimatu, kuna Trecki korstnat on tarnitud üle 20 aasta, on paljud seadmed jäetud järelevalveta või tülikad värskendamiseks.

Administraatoritel soovitatakse eraldada probleemsed seadmed ja konfigureerida paketikontrollisüsteemide, tulemüüride või ruuterite killustatud pakettide normaliseerimine või blokeerimine, blokeerida IP-tunnelid (IPv6-in-IPv4 ja IP-in-IP), blokeerida "allika marsruutimine", võimaldada kontrollimist valed valikud TCP-pakettides, blokeerige kasutamata ICMP-kontrollsõnumid (MTU värskendus ja aadressimask).