Ripple20, seria luk w zabezpieczeniach stosu TCP / IP firmy Treck wpływających na różne urządzenia

Niedawno pojawiły się wiadomości w zastrzeżonym stosie TCP / IP firmy Treck znaleziono około 19 luk w zabezpieczeniach, które można wykorzystać wysyłając specjalnie zaprojektowane pakiety.

Znalezione luki, zostały przypisane do nazwy kodowej Ripple20 a niektóre z tych luk pojawiają się również w stosie KASAGO TCP / IP firmy Zuken Elmic (Elmic Systems), który ma wspólne korzenie z Treck.

Niepokojącą rzeczą w tej serii znalezionych luk jest to stos TCP / IP Treck jest używany przez wiele urządzeń przemysłowe, medyczne, komunikacyjne, wbudowane i konsumenckie, od inteligentnych lamp po drukarki i zasilacze bezprzerwowe), a także w sprzęcie energetycznym, transportowym, lotniczym, handlowym i do produkcji ropy.

O podatnościach

Godne uwagi cele ataków przy użyciu stosu Treck TCP / IP obejmują drukarki sieciowe HP i chipy Intel.

Włączenie problemów na stosie TCP / IP Treck okazał się być przyczyną zdalnych podatności Niedawno w podsystemach Intel AMT i ISM wykorzystano wysyłanie pakietu sieciowego.

Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation i Schneider Electric potwierdziły luki w zabezpieczeniach. Oprócz 66 innych producentów, których produkty używają stosu Treck TCP / IP, jeszcze nie zareagowało na problemy, 5 producentów, w tym AMD, ogłosiło, że ich produkty nie podlegają problemom.

Stwierdzono problemy podczas realizacji protokołów IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 i ARP, i były spowodowane nieprawidłowym przetwarzaniem parametrów z rozmiarem danych (użycie pola o rozmiarze bez sprawdzania rzeczywistego rozmiaru danych), błędami podczas sprawdzania informacji wejściowych, podwójnym brakiem pamięci, odczytem z obszaru poza buforem , przepełnienia liczb całkowitych, niepoprawna kontrola dostępu i problemy z przetwarzaniem ciągów znaków z separatorem zerowym.

Wpływ tych luk będzie różny ze względu na połączenie opcji kompilacji i środowiska uruchomieniowego używanych podczas opracowywania różnych systemów wbudowanych. Ta różnorodność wdrożeń i brak wglądu w łańcuch dostaw zaostrzyły problem dokładnej oceny wpływu tych słabych punktów. 

Krótko mówiąc, nieuwierzytelniony zdalny atakujący może wykorzystać specjalnie spreparowane pakiety sieciowe do spowodowania ataku typu „odmowa usługi”, ujawnienia informacji lub wykonania dowolnego kodu.

Dwa najbardziej niebezpieczne problemy (CVE-2020-11896, CVE-2020-11897), którym przypisano poziom CVSS 10, pozwalają atakującemu na wykonanie swojego kodu na urządzeniu poprzez wysyłanie pakietów IPv4 / UDP lub IPv6 w określony sposób.

Pierwszy krytyczny problem występuje na urządzeniach obsługujących tunele IPv4, a drugi na wersjach obsługujących IPv6 wydanych przed 4 czerwca 2009 r. Inna krytyczna luka w zabezpieczeniach (CVSS 9) występuje w resolwerze DNS (CVE-2020-11901) i umożliwia kod do uruchomienia poprzez wysłanie specjalnie spreparowanego żądania DNS (problem został użyty do zademonstrowania włamania do UPS APC firmy Schneider Electric i pojawia się na urządzeniach z obsługą DNS).

Podczas inne luki CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le pozwalają poznać zawartość wysyłając paczki specjalnie zaprojektowane obszary pamięci systemu IPv4 / ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 lub IPv6. Inne problemy mogą prowadzić do odmowy usługi lub wycieku pozostałych danych z buforów systemowych.

Większość luk została naprawiona w wersji Treck 6.0.1.67 (problem CVE-2020-11897 naprawiony w wersji 5.0.1.35, CVE-2020-11900 w wersji 6.0.1.41, CVE-2020-11903 w wersji 6.0.1.28, CVE-2020-11908 w wersji 4.7).

Ponieważ przygotowywanie aktualizacji oprogramowania układowego dla określonych urządzeń może być czasochłonne lub niemożliwe, ponieważ stos Treck jest dostarczany od ponad 20 lat, wiele urządzeń pozostawiono bez nadzoru lub aktualizacja była trudna.

Administratorzy powinni odizolować problematyczne urządzenia i skonfigurować normalizację lub blokowanie w systemach kontroli pakietów, zaporach ogniowych lub routerach, pofragmentowanych pakietach, blokowaniu tuneli IP (IPv6-w-IPv4 i IP-w-IP), blokowaniu „routingu źródłowego”, włączaniu kontroli złe opcje w pakietach TCP, blokuj nieużywane komunikaty kontrolne ICMP (aktualizacja MTU i maska ​​adresu).


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Komentarz, zostaw swój

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany.

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   manolin powiedział

    Właśnie wydobywałem riple, a mój komputer się zepsuł, a przynajmniej tak mi powiedzieli, mogę to naprawić osobiście lub będę musiał to zabrać naprawa laptopa

logiczne (prawda)