다양한 장치에 영향을 미치는 Treck의 TCP / IP 스택의 일련의 취약점 인 Ripple20

최근 뉴스는 Treck의 독점 TCP / IP 스택에서 약 19 개의 취약점이 발견되었습니다., 특별히 설계된 패키지를 보내 악용 될 수 있습니다.

발견 된 취약점, 코드 이름 Ripple20에 할당되었습니다. 이러한 취약성 중 일부는 Treck과 공통적 인 루트를 공유하는 Zuken Elmic (Elmic Systems)의 KASAGO TCP / IP 스택에도 나타납니다.

발견 된 일련의 취약성에 대해 걱정되는 점은 TCP / IP Treck 스택은 많은 장치에서 사용됩니다. 산업, 의료, 통신, 임베디드 및 소비자, 스마트 램프에서 프린터 및 무정전 전원 공급 장치에 이르기까지), 에너지, 운송, 항공, 무역 및 석유 생산 장비.

취약점에 대하여

TCP / IP Treck 스택을 사용한 공격의 주목할만한 표적 여기에는 HP 네트워크 프린터와 Intel 칩이 포함됩니다.

문제의 포함 TCP / IP Treck 스택 원격 취약점의 원인으로 밝혀졌습니다. 최근 인텔 AMT 및 ISM 하위 시스템이 네트워크 패킷을 전송하여 악용되었습니다.

Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation 및 Schneider Electric이 취약점을 확인했습니다.. Treck TCP / IP 스택을 사용하는 제품을 사용하는 66 개 제조업체 외에도 AMD를 포함한 5 개 제조업체가 해당 제품에 문제가 없다고 발표했습니다.

구현에서 문제가 발견되었습니다. IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 및 ARP 프로토콜, 데이터 크기가있는 매개 변수의 잘못된 처리 (데이터의 실제 크기를 확인하지 않고 크기가있는 필드 사용), 입력 정보 확인시 오류, 이중 메모리 없음, 버퍼 외부 영역에서 읽기로 인해 발생했습니다. , 정수 오버플로, 잘못된 액세스 제어 및 XNUMX 구분 기호가있는 문자열 처리 문제.

이러한 취약점의 영향은 다른 임베디드 시스템을 개발할 때 사용되는 컴파일 및 런타임 옵션의 조합으로 인해 다양합니다. 이러한 구현의 다양성과 공급망에 대한 가시성 부족은 이러한 취약성의 영향을 정확하게 평가하는 문제를 더욱 악화 시켰습니다. 

요컨대, 인증되지 않은 원격 공격자는 특수 제작 된 네트워크 패킷을 사용하여 서비스 거부를 유발하거나 정보를 공개하거나 임의 코드를 실행할 수 있습니다.

가장 위험한 두 가지 문제 (CVE-2020-11896, CVE-2020-11897)CVSS 레벨 10이 할당 된은 공격자가 특정 방식으로 IPv4 / UDP 또는 IPv6 패킷을 전송하여 장치에서 자신의 코드를 실행할 수 있도록합니다.

첫 번째 심각한 문제는 IPv4 터널을 지원하는 장치에서 발생하고 두 번째는 6 년 4 월 2009 일 이전에 출시 된 IPv9 사용 버전에서 나타납니다. 또 다른 심각한 취약성 (CVSS 2020)이 DNS 해석기 (CVE-11901-XNUMX)에 존재하며이를 허용합니다. 특수 제작 된 DNS 요청을 제출하여 실행할 코드 (이 문제는 Schneider Electric UPS APC 해킹을 시연하는 데 사용되었으며 DNS를 지원하는 장치에 나타남).

동안 기타 취약성 CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le 패키지를 보내 내용을 알 수 있도록 허용 시스템의 특별히 제작 된 IPv4 / ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 또는 IPv6 메모리 영역. 다른 문제는 서비스 거부 또는 시스템 버퍼의 잔여 데이터 유출로 이어질 수 있습니다.

대부분의 취약점이 수정되었습니다. Treck 6.0.1.67 릴리스 (CVE-2020-11897 문제는 5.0.1.35에서 수정 됨, CVE-2020-11900에서 6.0.1.41, CVE-2020-11903에서 6.0.1.28, CVE-2020-11908에서 4.7. 1.27).

특정 장치에 대한 펌웨어 업데이트를 준비하는 것은 시간이 많이 걸리거나 불가능할 수 있기 때문에 Treck 스택이 20 년 이상 공급되어 왔기 때문에 많은 장치가 무인 상태로 두거나 업데이트가 번거로워졌습니다.

관리자는 문제가있는 장치를 격리하고 패킷 검사 시스템, 방화벽 또는 라우터에서 분할 된 패킷, IP 터널 차단 (IPv6-in-IPv4 및 IP-in-IP)에서 정규화 또는 차단을 구성하고«소스 라우팅»을 차단하고 검사를 활성화하는 것이 좋습니다. TCP 패킷의 잘못된 옵션, 사용하지 않는 ICMP 제어 메시지 차단 (MTU 업데이트 및 주소 마스크).