Ripple20, een reeks kwetsbaarheden in de TCP / IP-stack van Treck die verschillende apparaten treft

Darkcrizt

4 minuten

Dat maakte onlangs het nieuws bekend Er zijn ongeveer 19 kwetsbaarheden gevonden in de eigen TCP / IP-stack van Treck, die kan worden misbruikt door speciaal ontworpen pakketten te verzenden.

De gevonden kwetsbaarheden, werden toegewezen aan de codenaam Ripple20 en sommige van deze kwetsbaarheden komen ook voor in Zuken Elmic's (Elmic Systems) KASAGO TCP / IP-stack, die gemeenschappelijke wortels heeft met Treck.

Het verontrustende aan deze reeks gevonden kwetsbaarheden is dat de TCP / IP Treck-stack wordt door veel apparaten gebruikt industrieel, medisch, communicatie, ingebed en consumenten, van slimme lampen tot printers en noodstroomvoorzieningen), maar ook in energie-, transport-, luchtvaart-, handel- en olieproductieapparatuur.

Over kwetsbaarheden

Bekende doelen voor aanvallen met behulp van de TCP / IP Treck-stack ze omvatten HP netwerkprinters en Intel-chips.

Het opnemen van problemen op de TCP / IP Treck-stack bleek de oorzaak te zijn van de kwetsbaarheden op afstand Recent in de Intel AMT- en ISM-subsystemen misbruikt door het verzenden van een netwerkpakket.

Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation en Schneider Electric hebben de kwetsbaarheden bevestigd. Naast 66 andere fabrikanten, wiens producten de Treck TCP / IP-stack gebruiken, hebben nog niet gereageerd op de problemen, 5 fabrikanten, waaronder AMD, hebben aangekondigd dat hun producten niet onderhevig waren aan problemen.

Er zijn problemen gevonden bij de implementatie van de protocollen IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 en ARP, en werden veroorzaakt door een onjuiste verwerking van de parameters met de datagrootte (met behulp van een veld met een grootte zonder de werkelijke grootte van de gegevens te controleren), fouten bij het controleren van de invoerinformatie, dubbel geheugen vrij, gelezen uit een gebied buiten de buffer , overlopen van gehele getallen, onjuiste toegangscontrole en problemen bij het verwerken van strings met een nulscheidingsteken.

De impact van deze kwetsbaarheden zal variëren als gevolg van de combinatie van compilatie- en runtime-opties die worden gebruikt bij het ontwikkelen van verschillende embedded systemen. Deze diversiteit aan implementaties en het gebrek aan zichtbaarheid in de toeleveringsketen hebben het probleem verergerd om de impact van deze kwetsbaarheden nauwkeurig in te schatten. 

Kortom, een niet-geverifieerde externe aanvaller kan speciaal vervaardigde netwerkpakketten gebruiken om een ​​denial of service te veroorzaken, informatie te onthullen of willekeurige code uit te voeren.

De twee gevaarlijkste problemen (CVE-2020-11896, CVE-2020-11897), die CVSS-niveau 10 krijgen, stellen een aanvaller in staat om zijn code op het apparaat uit te voeren door op een bepaalde manier IPv4 / UDP- of IPv6-pakketten te verzenden.

Het eerste kritieke probleem doet zich voor op apparaten met ondersteuning voor IPv4-tunnels, en het tweede op IPv6-compatibele versies die vóór 4 juni 2009 zijn uitgebracht. Een andere kritieke kwetsbaarheid (CVSS 9) is aanwezig in de DNS-resolver (CVE-2020-11901) en maakt de code die moet worden uitgevoerd door een speciaal ontworpen DNS-verzoek in te dienen (het probleem werd gebruikt om de Schneider Electric UPS APC-hack aan te tonen en verschijnt op apparaten met DNS-ondersteuning).

Terwijl andere kwetsbaarheden CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le sta toe om de inhoud te kennen door pakketten te verzenden speciaal vervaardigde IPv4 / ICMPv4-, IPv6OverIPv4-, DHCP-, DHCPv6- of IPv6-geheugengebieden van het systeem. Andere problemen kunnen leiden tot denial of service of het lekken van resterende gegevens uit systeembuffers.

De meeste kwetsbaarheden zijn verholpen op Treck 6.0.1.67-release (CVE-2020-11897-probleem opgelost op 5.0.1.35, CVE-2020-11900 op 6.0.1.41, CVE-2020-11903 op 6.0.1.28, CVE-2020-11908 op 4.7. 1.27).

Aangezien het voorbereiden van firmware-updates voor specifieke apparaten tijdrovend of onmogelijk kan zijn, aangezien de Treck-stack al meer dan 20 jaar wordt geleverd, zijn veel apparaten onbeheerd achtergelaten of lastig te updaten.

Beheerders worden geadviseerd om problematische apparaten te isoleren en normalisatie of blokkering in pakketinspectiesystemen, firewalls of routers gefragmenteerde pakketten te configureren, IP-tunnels (IPv6-in-IPv4 en IP-in-IP) te blokkeren, de «source routing» te blokkeren, inspectie van verkeerde opties in TCP-pakketten, blokkeer ongebruikte ICMP-besturingsberichten (MTU-update en adresmasker).


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Manolin zei
    geleden Tot 4 jaar

    Ik was gewoon aan het minen en mijn pc was verpest, zo vertelden ze me, ik kan het persoonlijk repareren of ik moet het naar laptop reparatie

    Reageer op manolin