Ripple20, séria zraniteľností v zásobníku TCP / IP spoločnosti Treck, ktoré ovplyvňujú rôzne zariadenia

To nedávno prelomili správy asi 19 zraniteľností sa našlo v proprietárnom zásobníku TCP / IP spoločnosti Treck, ktoré je možné zneužiť zasielaním špeciálne navrhnutých balíkov.

Nájdené chyby boli označené krycím menom Ripple20 a niektoré z týchto zraniteľností sa objavujú aj v zásobníku TCP / IP spoločnosti Zuken Elmic (Elmic Systems) KASAGO, ktorý má spoločné korene s Treckom.

Znepokojujúce na tejto sérii zraniteľností je to zásobník TCP / IP Treck používa veľa zariadení priemyselné, lekárske, komunikačné, zabudované a spotrebné výrobky, od inteligentných žiaroviek po tlačiarne a zdroje nepretržitého napájania), ako aj v oblasti energetiky, dopravy, letectva, obchodu a zariadení na výrobu ropy.

O zraniteľnostiach

Pozoruhodné ciele pre útoky využívajúce zásobník TCP / IP Treck zahŕňajú sieťové tlačiarne HP a čipy Intel.

Zahrnutie problémov na zásobníku TCP / IP Treck sa ukázalo ako dôvod vzdialených zraniteľností Nedávno v podsystémoch Intel AMT a ISM využívané zasielaním sieťového paketu.

Spoločnosti Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation a Schneider Electric potvrdili chyby zabezpečenia. Okrem 66 ďalších výrobcov, ktorých produkty využívajú zásobník Treck TCP / IP, zatiaľ na problémy nereagovali, 5 výrobcov vrátane AMD oznámilo, že sa ich produkty netýkajú.

Pri implementácii sa našli problémy protokolov IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 a ARP, a boli spôsobené nesprávnym spracovaním parametrov s veľkosťou dát (použitie poľa s veľkosťou bez kontroly skutočnej veľkosti dát), chyby pri kontrole vstupných informácií, zdvojnásobenie voľnej pamäte, načítanie z oblasti mimo medzipamäte , pretečenia celých čísel, nesprávna kontrola prístupu a problémy so spracovaním reťazcov s nulovým oddeľovačom.

Dopad týchto zraniteľností sa bude líšiť v dôsledku kombinácie možností kompilácie a runtime použitej pri vývoji rôznych vstavaných systémov. Táto rôznorodosť implementácií a nedostatočná viditeľnosť v dodávateľskom reťazci prehĺbili problém presného posúdenia dopadu týchto slabých miest. 

Stručne povedané, neautentizovaný vzdialený útočník môže pomocou špeciálne vytvorených sieťových paketov spôsobiť odmietnutie služby, odhalenie informácií alebo vykonanie ľubovoľného kódu.

Dva najnebezpečnejšie problémy (CVE-2020-11896, CVE-2020-11897), ktorým je pridelená úroveň 10 CVSS, umožňujú útočníkovi spustiť jeho kód na zariadení zaslaním určitého spôsobu paketov IPv4 / UDP alebo IPv6.

Prvý kritický problém sa objavuje na zariadeniach s podporou tunelov IPv4 a druhý na verziách s povoleným IPv6 vydaných pred 4. júnom 2009. Ďalšia kritická chyba (CVSS 9) je prítomná v prekladači DNS (CVE-2020-11901) a umožňuje kód, ktorý sa má spustiť zadaním špeciálne vytvorenej žiadosti DNS (problém bol použitý na demonštráciu hackingu Schneider Electric UPS APC a objavuje sa na zariadeniach s podporou DNS).

Kým ďalšie chyby zabezpečenia CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 le umožniť poznať obsah odosielaním balíkov špeciálne vytvorené pamäťové oblasti systému IPv4 / ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 alebo IPv6. Ďalšie problémy môžu viesť k odmietnutiu služby alebo úniku zvyškových údajov z systémových vyrovnávacích pamätí.

Väčšina zraniteľností bola opravená vo vydaní Treck 6.0.1.67 (vydanie CVE-2020-11897 opravené o 5.0.1.35, CVE-2020-11900 o 6.0.1.41, CVE-2020-11903 o 6.0.1.28, CVE-2020-11908 o 4.7. 1.27).

Pretože príprava aktualizácií firmvéru pre konkrétne zariadenia môže byť časovo náročná alebo nemožná, pretože zásobníky Treck sa dodávajú už viac ako 20 rokov, mnoho zariadení zostalo pri aktualizácii bez dozoru alebo sú problémy.

Správcom sa odporúča izolovať problémové zariadenia a nakonfigurovať normalizáciu alebo blokovanie v systémoch kontroly paketov, firewalloch alebo smerovačoch fragmentovaných paketov, blokovať tunely IP (IPv6-v-IPv4 a IP-v-IP), blokovať «smerovanie zdroja», umožniť kontrolu nesprávne možnosti v paketoch TCP, blokujte nepoužívané riadiace správy ICMP (MTU Update a Address Mask).