„Ripple20“, „Treck“ TCP / IP kamino pažeidžiamumų serija, veikianti įvairius įrenginius

Neseniai žinia tai atskleidė apie 19 pažeidimų rasta „Treck“ nuosavybės teise priklausančiame TCP / IP šūsnyje, kurią galima panaudoti siunčiant specialiai sukurtus paketus.

Rasti pažeidžiamumai, buvo priskirti kodiniam pavadinimui Ripple20 ir kai kurie iš šių pažeidžiamumų taip pat atsiranda „Zuken Elmic“ („Elmic Systems“) KASAGO TCP / IP šūsnyje, turinčioje bendras šaknis su „Treck“.

Nerimą kelia ši rasta pažeidžiamumų serija TCP / IP „Treck“ kaminą naudoja daugelis įrenginių pramonės, medicinos, ryšių, įterptųjų ir vartotojų, pradedant išmaniosiomis lempomis, baigiant spausdintuvais ir nepertraukiamo maitinimo šaltiniais), taip pat energetikos, transporto, aviacijos, prekybos ir naftos gavybos įrangoje.

Apie pažeidžiamumus

Žymūs atakų tikslai naudojant „Treck TCP / IP“ kaminą jie apima HP tinklo spausdintuvus ir „Intel“ lustus.

Problemų įtraukimas ant TCP / IP Treck kamino pasirodė esanti nuotolinio pažeidžiamumo priežastis Naujausi „Intel AMT“ ir „ISM“ posistemiuose, kurie naudojami naudojantis tinklo paketu.

„Intel“, HP, „Hewlett Packard Enterprise“, „Baxter“, „Caterpillar“, „Digi“, „Rockwell Automation“ ir „Schneider Electric“ patvirtino pažeidžiamumą. Be 66 kitų gamintojų, kurių gaminiai naudoja „Treck TCP / IP“ kaminą, dar nereikia atsakyti į iškilusias problemas, 5 gamintojai, įskaitant AMD, paskelbė, kad jų gaminiams nėra jokių problemų.

Aptikta problemų įgyvendinant IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 ir ARP protokolų, ir atsirado dėl neteisingo parametrų su duomenų dydžiu apdorojimo (naudojant lauko dydį, netikrinant tikrojo duomenų dydžio), klaidų tikrinant įvesties informaciją, dviguba laisva atmintis, nuskaityta iš ne buferio srities , sveikųjų skaičių perpildymas, neteisinga prieigos kontrolė ir problemos apdorojant eilutes naudojant nulinį separatorių.

Šių pažeidžiamumų poveikis skirsis dėl kompiliavimo ir vykdymo laiko parinkčių, naudojamų kuriant skirtingas įterptąsias sistemas, derinio. Ši įvairovė ir nepakankamas matomumas tiekimo grandinėje padidino tikslumo įvertinti šių pažeidžiamumų poveikį problemą. 

Trumpai tariant, neautentifikuotas nuotolinis užpuolikas gali naudoti specialiai sukurtus tinklo paketus, kad galėtų atsisakyti teikti paslaugas, atskleisti informaciją ar vykdyti savavališką kodą.

Dvi pavojingiausios problemos (CVE-2020-11896, CVE-2020-11897), kuriems priskiriamas 10 CVSS lygis, leidžia užpuolikui atlikti savo kodą įrenginyje tam tikru būdu siunčiant IPv4 / UDP arba IPv6 paketus.

Pirmoji kritinė problema iškyla įrenginiuose, palaikančiuose „IPv4“ tunelius, o antroji - versijose, kuriose įgalinta „IPv6“, išleistų iki 4 m. Birželio 2009 d. Kita svarbi spraga (CVSS 9) yra DNS sprendime (CVE-2020-11901) ir leidžia kodas, kurį reikia paleisti pateikiant specialiai sukurtą DNS užklausą (problema buvo naudojama norint parodyti „Schneider Electric UPS APC“ įsilaužimą ir rodoma įrenginiuose, kuriuose palaikoma DNS).

O kiti pažeidžiamumai CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le leisti žinoti turinį siunčiant paketus specialiai sukurtos sistemos IPv4 / ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 arba IPv6 atminties sritys. Kiti klausimai gali lemti paslaugų atsisakymą arba likutinių duomenų nutekėjimą iš sistemos buferių.

Dauguma pažeidžiamumų buvo pašalinti dėl „Treck 6.0.1.67“ leidimo (CVE-2020-11897 leidimas nustatytas 5.0.1.35, CVE-2020-11900 6.0.1.41, CVE-2020-11903 6.0.1.28, CVE-2020-11908 4.7. 1.27).

Kadangi programinės įrangos atnaujinimų paruošimas konkretiems įrenginiams gali užtrukti arba gali būti neįmanoma, nes „Treck“ kaminas tiekiamas daugiau nei 20 metų, daugelis įrenginių buvo palikti neprižiūrimi arba juos atnaujinti buvo sunku.

Administratoriams rekomenduojama izoliuoti probleminius įrenginius ir konfigūruoti paketų tikrinimo sistemų, užkardų ar maršrutizatorių suskaidytų paketų normalizavimą ar blokavimą, blokuoti IP tunelius („IPv6-in-IPv4“ ir „IP-in-IP“), blokuoti „šaltinio maršrutą“, leisti patikrinti neteisingos parinktys TCP paketuose, užblokuokite nenaudojamus ICMP valdymo pranešimus (MTU atnaujinimas ir adresų kaukė).