Ripple20、さまざまなデバイスに影響を与えるTreckのTCP / IPスタックの一連の脆弱性

最近のニュースはそれを壊しました Treck独自のTCP / IPスタックで約19の脆弱性が見つかりました、特別に設計されたパッケージを送信することで悪用できます。

見つかった脆弱性、 コード名Ripple20に割り当てられました これらの脆弱性の一部は、Treckと共通のルーツを共有するZuken Elmic（Elmic Systems）のKASAGO TCP / IPスタックにも現れます。

見つかったこの一連の脆弱性について心配しているのは、 TCP / IPTreckスタックは多くのデバイスで使用されています スマートランプからプリンター、無停電電源まで、産業、医療、通信、組み込み、消費者向け）、エネルギー、輸送、航空、貿易、石油生産設備。

脆弱性について

Treck TCP / IPスタックを使用した攻撃の注目すべきターゲット HPネットワークプリンターとIntelチップが含まれます。

問題の包含 TCP / IPTreckスタック上 リモートの脆弱性の理由であることが判明しました 最近のIntelAMTおよびISMサブシステムでは、ネットワークパケットの送信によって悪用されています。

Intel、HP、Hewlett Packard Enterprise、Baxter、Caterpillar、Digi、Rockwell Automation、SchneiderElectricが脆弱性を確認しました。 Treck TCP / IPスタックを使用する製品を使用している他の66のメーカーがまだ問題に対応していないことに加えて、AMDを含む5つのメーカーが自社の製品に問題がないことを発表しました。

実装に問題が見つかりました IPv4、IPv6、UDP、DNS、DHCP、TCP、ICMPv4、およびARPプロトコルの データサイズのパラメータの誤った処理（データの実際のサイズをチェックせずにサイズのフィールドを使用）、入力情報のチェック時のエラー、ダブルメモリフリー、読み取り元が原因でした。バッファ不足領域、整数オーバーフロー、不正なアクセス制御、およびゼロ区切り文字を使用した文字列の処理の問題。

これらの脆弱性の影響は、さまざまな組み込みシステムを開発するときに使用されるコンパイルオプションとランタイムオプションの組み合わせによって異なります。 この実装の多様性とサプライチェーンの可視性の欠如は、これらの脆弱性の影響を正確に評価するという問題を悪化させています。 

つまり、認証されていないリモートの攻撃者は、特別に細工されたネットワークパケットを使用して、サービスの拒否を引き起こしたり、情報を公開したり、任意のコードを実行したりできます。

最も危険な2020つの問題（CVE-11896-2020、CVE-11897-XNUMX）、CVSSレベル10が割り当てられているため、攻撃者は特定の方法でIPv4 / UDPまたはIPv6パケットを送信することにより、デバイス上でコードを実行できます。

最初の重大な問題はIPv4トンネルをサポートするデバイスで発生し、6番目は4年2009月9日より前にリリースされたIPv2020対応バージョンで発生します。別の重大な脆弱性（CVSS 11901）がDNSリゾルバー（CVE-XNUMX-XNUMX）に存在します。 ）そして、特別に細工されたDNS要求を送信することによってコードを実行できるようにします（この問題は、Schneider Electric UPS APCハックを示すために使用され、DNSをサポートするデバイスに表示されます）。

つつ その他の脆弱性CVE-2020-11898、CVE-2020-11899、CVE-2020-11902、CVE-2020-11903、CVE-2020-11905 le パッケージを送信してコンテンツを知ることができます システムの特別に細工されたIPv4 / ICMPv4、IPv6OverIPv4、DHCP、DHCPv6、またはIPv6メモリ領域。 その他の問題は、サービスの拒否またはシステムバッファからの残留データの漏洩につながる可能性があります。

ほとんどの脆弱性が修正されました Treck 6.0.1.67リリース（2020で修正されたCVE-11897-5.0.1.35の問題、2020でのCVE-11900-6.0.1.41、2020でのCVE-11903-6.0.1.28、2020でのCVE-11908-4.7） 。1.27）。

Treckスタックは20年以上にわたって提供されているため、特定のデバイスのファームウェア更新の準備には時間がかかるか不可能な場合があるため、多くのデバイスが無人のままであるか、更新が面倒です。

管理者は、問題のあるデバイスを分離し、パケット検査システム、ファイアウォールまたはルーターの断片化されたパケットで正規化またはブロックを構成し、IPトンネル（IPv6-in-IPv4およびIP-in-IP）をブロックし、«をブロックすることをお勧めします。ソースルーティング»、TCPパケットの誤ったオプションの検査を有効にし、未使用のICMP制御メッセージ（MTU更新およびアドレスマスク）をブロックします。