अलीकडेच बातमीने ती फोडली ट्रेकच्या मालकीच्या टीसीपी / आयपी स्टॅकमध्ये सुमारे 19 असुरक्षा आढळल्या, जे खास डिझाइन केलेले पॅकेजेस पाठवून उपयोगात आणले जाऊ शकते.
असुरक्षितता आढळली, रिपल20 कोड नाव नियुक्त केले गेले आणि यापैकी काही असुरक्षितता झुकेन एल्मिक्स (एल्मिक सिस्टम्स) कासागो टीसीपी / आयपी स्टॅकमध्ये देखील आढळतात, ज्या ट्रेकसह सामान्य मुळे सामायिक करतात.
या मालिकेच्या असुरक्षिततेविषयी चिंताजनक बाब म्हणजे ती टीसीपी / आयपी ट्रेक स्टॅक बर्याच उपकरणांद्वारे वापरले जाते औद्योगिक, वैद्यकीय, दळणवळण, एम्बेड केलेले आणि ग्राहक, स्मार्ट दिवे ते प्रिंटर आणि अखंड वीजपुरवठा) आणि ऊर्जा, वाहतूक, विमानचालन, व्यापार आणि तेल उत्पादन उपकरणे.
असुरक्षा बद्दल
ट्रेक टीसीपी / आयपी स्टॅक वापरुन हल्ल्यांसाठी लक्षणीय लक्ष्ये त्यात एचपी नेटवर्क प्रिंटर आणि इंटेल चिप्स समाविष्ट आहेत.
समस्यांचा समावेश टीसीपी / आयपी ट्रेक स्टॅकवर दूरस्थ असुरक्षिततेचे कारण असल्याचे दिसून आले इंटेल एएमटी आणि आयएसएम उपप्रणालीमधील अलीकडील नेटवर्क पॅकेट पाठवून शोषण केले.
इंटेल, एचपी, हेवलेट पॅकार्ड एंटरप्राइझ, बॅक्सटर, कॅटरपिलर, डिगी, रॉकवेल ऑटोमेशन आणि स्नायडर इलेक्ट्रिकने असुरक्षिततेची पुष्टी केली.. ट्रेक टीसीपी / आयपी स्टॅक वापरणारी उत्पादने इतर 66 उत्पादकांव्यतिरिक्त, अद्याप समस्यांस प्रतिसाद मिळाला नाही, एएमडीसह 5 उत्पादकांनी जाहीर केले की त्यांची उत्पादने समस्येच्या अधीन नाहीत.
अंमलबजावणीमध्ये समस्या आढळल्या आयपीव्ही,, आयपीव्ही,, यूडीपी, डीएनएस, डीएचसीपी, टीसीपी, आयसीएमपीव्ही and आणि एआरपी प्रोटोकॉलचे, आणि डेटा आकारासह पॅरामीटर्सच्या चुकीच्या प्रक्रियेमुळे (डेटाचा वास्तविक आकार न तपासता आकार असलेले फील्ड वापरणे), इनपुट माहिती तपासताना त्रुटी, डबल मेमरी फ्री, कडून वाचा आउट-ऑफ-बफर क्षेत्र, पूर्णांक ओव्हरफ्लो, चुकीचे प्रवेश नियंत्रण आणि शून्य विभाजक असलेल्या स्ट्रिंगवर प्रक्रिया करण्यात समस्या.
या एम्बेडेड सिस्टम विकसित करताना वापरलेल्या संकलन आणि रनटाइम पर्यायांच्या संयोजनामुळे या असुरक्षिततेचा प्रभाव बदलू शकतो. या अंमलबजावणीची विविधता आणि पुरवठा साखळीत दृश्यमानतेच्या कमतरतेमुळे या असुरक्षांच्या परिणामाचे अचूक मूल्यांकन करण्याची समस्या अधिकच वाढली आहे.
थोडक्यात, एक अप्रमाणित रिमोट आक्रमणकर्ता सेवेचा नकार देण्यासाठी, माहिती उघड करण्यासाठी किंवा अनियंत्रित कोड अंमलात आणण्यासाठी खास रचलेले नेटवर्क पॅकेट वापरू शकतो.
दोन सर्वात धोकादायक समस्या (सीव्हीई -2020-11896, सीव्हीई -2020-11897), जे सीव्हीएसएस स्तर 10 नियुक्त केले आहेत, आक्रमणकर्त्यास एखाद्या विशिष्ट मार्गाने आयपीव्ही 4 / यूडीपी किंवा आयपीव्ही 6 पॅकेट पाठवून डिव्हाइसवर त्याचा कोड कार्यान्वित करण्यास सक्षम होऊ द्या.
प्रथम गंभीर समस्या आयपीव्ही 4 बोगद्यासाठी समर्थन असणार्या डिव्हाइसेसवर दिसते आणि दुसरा आयपीव्ही 6-सक्षम आवृत्त्या 4 जून, 2009 पूर्वी प्रकाशीत झाला. डीएनएस निराकरण (सीव्हीई -9-2020) मध्ये आणखी एक गंभीर असुरक्षा (सीव्हीएसएस 11901) अस्तित्त्वात आहे ) आणि विशेष रचलेल्या डीएनएस विनंती सबमिट करुन कोड चालविण्यास अनुमती देते (हा मुद्दा स्निडर इलेक्ट्रिक यूपीएस एपीसी हॅक प्रदर्शित करण्यासाठी वापरला गेला आणि डीएनएस समर्थनासह असलेल्या डिव्हाइसवर दिसून आला).
तर इतर असुरक्षा CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le पॅकेजेस पाठवून सामग्री जाणून घेण्यास अनुमती द्या प्रणालीचे विशेष रचलेले IPv4 / ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 किंवा IPv6 मेमरी क्षेत्र. इतर समस्यांमुळे सेवा नाकारणे किंवा सिस्टम बफरमधील अवशिष्ट डेटा गळती होऊ शकते.
बहुतेक असुरक्षा निश्चित केल्या गेल्या ट्रेक 6.0.1.67 रीलिझवर (सीव्हीई -2020-11897 अंक 5.0.1.35 वाजता निर्धारण, सीव्हीई -2020-11900 6.0.1.41 वाजता, सीव्हीई -2020-11903 6.0.1.28 वाजता, सीव्हीई -2020-11908 4.7 वाजता 1.27. XNUMX).
20 वर्षांहून अधिक काळ ट्रेक स्टॅक पुरविला जात असल्यामुळे विशिष्ट उपकरणांसाठी फर्मवेअर अद्यतने तयार करणे वेळ घेणारे किंवा अशक्य असू शकते, म्हणून बर्याच उपकरणे अद्ययावत किंवा त्रासदायक राहिली आहेत.
प्रशासकांना समस्याग्रस्त उपकरणे वेगळी करण्याचा आणि सामान्यीकरण कॉन्फिगर करण्याची किंवा पॅकेट तपासणी सिस्टममध्ये ब्लॉक करणे, फायरवॉल किंवा राउटर खंडित पॅकेट्स, आयपी बोगदे (आयपीव्ही 6-इन-आयपीव्ही 4 आणि आयपी-इन-आयपी) ब्लॉक करणे advised स्त्रोत मार्गनिर्देशन T, टीसीपी पॅकेटमधील चुकीच्या पर्यायांची तपासणी सक्षम करा, न वापरलेले आयसीएमपी कंट्रोल मेसेजेस (एमटीयू अपडेट आणि अॅड्रेस मास्क) ब्लॉक करा.
मी फक्त रिप्लाई खाण करीत होतो आणि माझा पीसी बिघडला, किंवा त्यांनी मला सांगितले की मी ते वैयक्तिकरित्या दुरुस्त करू शकेन किंवा मला ते घ्यावे लागेल लॅपटॉप दुरुस्ती