信息化觀察網(wǎng)

日前，以色列安全公司JSOF曝出的一“波”19個物聯(lián)網(wǎng)軟件漏洞（統(tǒng)稱Ripple20，其中四個很嚴重）波及全球數(shù)億個物聯(lián)網(wǎng)（IoT）和工業(yè)控制設(shè)備。

研究人員表示，他們將這19個漏洞命名為“Ripple20”并不是說發(fā)現(xiàn)了20個漏洞，而是因為這些漏洞將在2020年及以后的IoT市場中連鎖引發(fā)安全風暴。更糟糕的是，研究人員指出目前發(fā)現(xiàn)的19個Ripple20零日漏洞可能只是冰山一角，而且攻擊者的惡意代碼可能會在嵌入式設(shè)備中潛伏多年。

物聯(lián)網(wǎng)安全風暴：從打印機、胰島素泵、智能家居再到ICS工控設(shè)備全部“中標”

Ripple20漏洞存在于一個90年代設(shè)計的軟件庫——物聯(lián)網(wǎng)開發(fā)商廣泛使用的，由Treck公司開發(fā)的TCP/IP軟件庫，用于實現(xiàn)輕量級的TCP/IP堆棧。在過去的20多年間，該庫已經(jīng)被廣泛使用并集成到無數(shù)企業(yè)和個人消費者設(shè)備中。

JSOF研究實驗室的研究人員稱，受影響的硬件幾乎無所不在，包括從聯(lián)網(wǎng)打印機到醫(yī)用輸液泵和工業(yè)控制設(shè)備的海量設(shè)備。Treck的用戶包括大把財富500強跨國公司，例如惠普、施耐德電氣、英特爾、Rockwell Automation、Caterpillar，Baxter…以及醫(yī)療、運輸、工業(yè)控制、能源（石油/天然氣），電信，零售和商業(yè)等行業(yè)的許多其他主要國際供應(yīng)商。

研究人員在周二的一篇文章中說：“軟件庫的廣泛傳播（及其內(nèi)部漏洞）是供應(yīng)鏈“漣漪效應(yīng)”的結(jié)果。”“單個易受攻擊的組件雖然影響很小，但可能會向外擴散，從而影響廣泛的行業(yè)、應(yīng)用程序、公司和個人。”

這些被稱為Ripple20的漏洞包括四個高危遠程代碼執(zhí)行漏洞。如果將這四個漏洞武器化，它們可使攻擊者輕松接管智能設(shè)備或任何工業(yè)或醫(yī)療設(shè)備。如果設(shè)備在線連接，則可以通過互聯(lián)網(wǎng)進行攻擊；如果攻擊者獲得了內(nèi)部網(wǎng)絡(luò)的立足點（例如，通過受損的路由器），則可以通過本地網(wǎng)絡(luò)進行攻擊。

這四個漏洞對于僵尸網(wǎng)絡(luò)運營商和針對性攻擊都是理想的選擇?？紤]到Treck在整個軟件領(lǐng)域的龐大影響，測試并修復(fù)所有系統(tǒng)的Ripple20漏洞應(yīng)成為所有公司的首要任務(wù)。

漏洞詳情

“Ripple20”包含四個高危漏洞，詳情如下：

CVE-2020-11896，其CVSS v3評分為10（滿分10分），可以通過將多個格式錯誤的IPv4數(shù)據(jù)包發(fā)送到支持IPv4隧道的設(shè)備來觸發(fā)。

CVE-2020-11897的CVSS v3漏洞嚴重性評分也達到了10分，屬于越界寫入漏洞，可以通過向設(shè)備發(fā)送多個格式錯誤的IPv6數(shù)據(jù)包來觸發(fā)。它會影響任何運行舊版支持IPv6的Treck設(shè)備，并且先前已通過例行代碼更改對其進行了修復(fù)。該漏洞可能潛在地允許穩(wěn)定的遠程代碼執(zhí)行。

CVE-2020-11901的CVSS v3漏洞嚴重性評分9，可以通過回答設(shè)備發(fā)出的單個DNS請求來觸發(fā)。它可以使攻擊者繞過任何安全措施，從而滲透網(wǎng)絡(luò)，執(zhí)行代碼并接管設(shè)備。

JSOF表示：

它會影響任何運行支持DNS的Treck的設(shè)備，并且我們證明了它可用于在施耐德電氣的APC UPS上執(zhí)行遠程代碼執(zhí)行。在我們看來，這是最嚴重的漏洞，盡管CVSS評分僅為9（因為DNS請求可能會離開該設(shè)備所在的網(wǎng)絡(luò)），但聰明的攻擊者可能會使用此漏洞來通過DNS緩存中毒或其他方法從網(wǎng)絡(luò)外部接管設(shè)備。

CVE-2020-11898，CVSS v3評分9.1，當處理未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者發(fā)送的數(shù)據(jù)包時，這是對IPv4/ICMPv4組件中的長度參數(shù)不一致錯誤的不當處理。它可以導致信息被公開。

其他15個漏洞的嚴重性評分從8.2到3.7不等。高達8.2的嚴重漏洞（例如CVE-2020-11900，一種可使用后使用的缺陷）到低嚴重性的不正確輸入驗證問題（例如CVE-2020-11913，嚴重性評分為3.7）。

JSOF表示：

其他15個漏洞的嚴重程度不同，CVSS評分從3.1到8.2，影響范圍從拒絕服務(wù)到潛在的遠程代碼執(zhí)行。大多數(shù)漏洞都是真正的零日漏洞，多年來，由于常規(guī)代碼更改，其中有四個已被關(guān)閉，但在某些受影響的設(shè)備中仍處于打開狀態(tài)（三個較低的嚴重性，一個較高的嚴重性）。由于這些年來的堆?？膳渲眯院痛a更改，許多漏洞都有幾種變體。

JSOF警告說：

有效利用漏洞可能導致許多嚴重后果，例如設(shè)備的遠程接管和受感染網(wǎng)絡(luò)內(nèi)的橫向移動。發(fā)動廣播攻擊可以同時接管網(wǎng)絡(luò)中所有受影響的設(shè)備，或者隱藏在受感染的設(shè)備中以進行隱身偵察，并繞過網(wǎng)絡(luò)地址遍歷（NAT）保護。

據(jù)悉，JSOF將在8月的Black Hat USA虛擬大會上提供有關(guān)漏洞的更多詳細信息。

補丁和緩解措施

安全人士指出，Ripple20漏洞的影響預(yù)計與2019年7月披露的Urgent/11漏洞類似，后者至今仍在調(diào)查中，業(yè)界至今仍在定期發(fā)現(xiàn)并修補新的漏洞設(shè)備。Urgent/11漏洞影響了VxWorks實時操作系統(tǒng)的TCP/IP（IPnet）網(wǎng)絡(luò)堆棧，該系統(tǒng)是IoT和工業(yè)領(lǐng)域中廣泛使用的另一種產(chǎn)品。Ripple20漏洞的修補進程可以參考Urgent/11，后者至今仍有很多產(chǎn)品未能修復(fù)補丁（因為產(chǎn)品報廢、供應(yīng)商停止運營、設(shè)備無法停機等原因）。

Treck本周一已經(jīng)發(fā)布了補丁，供OEM使用最新的Treck堆棧版本（6.0.1.67或更高版本）?，F(xiàn)在的主要安全挑戰(zhàn)是如何讓如此多的企業(yè)盡快修復(fù)漏洞。除了ICS CERT，CERTCC和JPCERT/CC的建議之外，英特爾和惠普也發(fā)布了警報。

JSOF分析師稱：

盡管最好的方法是安裝原始的Treck補丁，但在許多情況下無法安裝原始補丁。因此，CERT仍在努力開發(fā)可用于最小化或有效消除Ripple20風險的替代方法。

Knudsen補充說，這屬于供應(yīng)鏈問題，因此很多受影響的產(chǎn)品應(yīng)該能夠進行自我更新，但是在IoT和工業(yè)控制領(lǐng)域，并非總是如此。

對于無法安裝補丁程序的用戶，CERT/CC和CISA ICS-CERT建議：

如果無法修補設(shè)備，則管理員應(yīng)最大程度地減少嵌入式設(shè)備和關(guān)鍵設(shè)備的網(wǎng)絡(luò)暴露，確保除非絕對必要，不應(yīng)允許從互聯(lián)網(wǎng)訪問設(shè)備。此外，工控運營網(wǎng)絡(luò)和設(shè)備應(yīng)隔離在防火墻之后，并與任何業(yè)務(wù)網(wǎng)絡(luò)隔離。

用戶還可以采取措施阻止異常IP流量，采用搶占式流量過濾，通過安全的遞歸服務(wù)器或DNS檢查防火墻對DNS進行標準化，或提供具有DHCP偵聽等功能的DHCP/DHCPv6安全性。

研究人員總結(jié)說：

軟件庫傳播廣泛，對其進行跟蹤一直是一個重大挑戰(zhàn)。當我們追蹤Treck的TCP/IP庫的分布軌跡時，我們發(fā)現(xiàn)在過去的二十年中，這種基本的網(wǎng)絡(luò)軟件已經(jīng)遍及全球。作為傳播媒介，復(fù)雜的供應(yīng)鏈提供了理想的攻擊渠道，使原始漏洞幾乎可以無休止地滲透和偽裝。

Synopsys的高級安全策略師Jonathan Knudsen指出：

首先，安全必須集成到軟件開發(fā)的每個部分：從設(shè)計過程中的威脅建模到實施過程中的自動化安全測試，軟件開發(fā)的每個階段都必須融入安全性。第二，開發(fā)軟件的組織必須管理其第三方組件。Ripple20漏洞產(chǎn)生深遠影響的主要原因是，它們是許多組織在許多產(chǎn)品中廣泛使用的網(wǎng)絡(luò)組件中的漏洞。每個軟件開發(fā)組織必須了解他們正在使用的第三方組件，以最大程度地降低它們所代表的風險。

最后，讓人擔憂的是，存在漏洞的軟件庫不僅由設(shè)備供應(yīng)商直接使用，而且還集成到大量其他軟件套件中，這意味著許多公司甚至都不知道他們正在使用存在漏洞的代碼。