来自JSOF的网络安全研究人员刚刚公布了19个名为Ripple20的漏洞，这些漏洞正在影响Treck开发的TCP/IP协议栈。该软件栈集成到医疗保健、运输、制造、电信和能源市场中使用的数百万个系统中，潜在地影响大量组织和关键行业。

这些漏洞与2019年发布的影响Interpeak开发的TCP/IP栈的紧急/11漏洞类似。和Urgent/11一样，Ripple20漏洞允许攻击者触发远程代码执行和拒绝服务(DoS)。许多供应商，如HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter和其他公司已经证实受到了Ripple20的影响。

专为工业环境设计的Cisco IoT解决方案不受Ripple20的影响。实际上，诸如Cisco Cyber​​ Vision和Cisco工业安全设备ISA3000之类的产品以及Cisco Talos的 Snort签名将有助于识别网络中的Ripple20漏洞并补救风险。某些思科产品容易受到攻击，你可以阅读思科的官方公告。

Treck成立于1997年，致力于为实时嵌入式系统开发协议栈。许多设备供应商都使用它，因为此软件为通常具有有限内存或处理能力的IoT设备提供了优化的性能。它以源代码的形式出售，使供应商可以轻松地仅集成所需的协议层并针对特定应用对其进行修改。

因此，这取决于制造商如何对这些库进行专业化和集成，它们实际上可能变得无法识别。此外，随着制造商被收购，一些制造商可能已经失去了这种软件组件的了解，这使得识别受影响的产品变得相当困难。

另一个重要的事实是Treck和日本公司Elmic System(今天的Zuken Elmic)过去的合作。这种合作产生了两个类似的TCP/IP栈，由每个出版商独立维护，并在不同地区销售，一个在美国市场，一个在亚洲市场。一些Ripple20漏洞也会影响Zuken Elmic维护的TCP/IP栈。

快速处理Ripple20！

Ripple20包含一系列19个漏洞。其中有4个至关重要，CVSS严重性等级得分超过9。这些问题应予以迅速解决，因为它们可被用于任意远程代码执行，拒绝服务攻击和信息泄露。

CVE-2020-11901可能是最严重的漏洞。可以通过回答来自设备的DNS请求来触发它，并可能导致远程执行代码。由于DNS请求通常断开网络，因此可以很容易地拦截它们，从而为攻击者提供了一种方法。此外，为利用此漏洞而发送的数据包将符合各种RFC，从而使防火墙很难检测到攻击。

在IoT / OT网络中检测Ripple20

JSOF估计，由于许多供应商已将Treck TCP / IP协议栈的全部或部分集成到了他们开发的系统中，因此Ripple20漏洞可能会影响数十亿个设备。CISA ICS-CERT已建立了受影响的供应商列表，可以通过官方网站查询。

虽然受影响供应商的详细信息和列表仍在不断出现，但可以采取一些步骤来帮助识别和防范这些漏洞。

随着供应商发布安全公告来确定他们的哪些产品受到影响，同时思科将继续更新Cyber​​ Vision知识库，以便可以发现您受影响的资产。Cisco Cyber​​ Vision是专门设计用于检测针对IoT / OT设备的攻击的解决方案。它会自动发现您的工业网络的最小细节，并构建全面的资产清单，突出显示已知漏洞，例如Ripple20。

Cyber​​ Vision知识库经常更新，并免费提供给所有Cyber​​ Vision客户。如果你还尚未安装，建议现在可以通过官网下载安装它的最新版本。

由于Ripple20漏洞的性质以及受影响的设备类型，您可能无法修补易受攻击的资产–或您可能永远不知道某些资产易受攻击。为了保护您的权益，可以采取一些替代措施。

如何立即保护自己

在短期内，您可以利用入侵检测系统（IDS）来检测和警告利用这些漏洞的尝试。可以利用Cisco Talos制定的规则，使用SNORT IDS引擎配置Cisco Cyber​​ Vision 。在思科工业安全设备ISA3000提供相同的IDS，再加上阻止这些行为，形成一个坚固耐用的保护盾，将其在工业设备一起被部署。

ISA3000适合细分工业网络和孤立的资产。这将可以遏制潜在的攻击，并且不会扩散到整个网络。

JSOF还提供了许多其他补救建议，您也可以使用ISA3000实现这些建议。这些功能包括阻塞IP片段、阻塞IP隧道中的IP、拒绝错误格式的TCP数据包、阻塞未使用的ICMP消息、限制DHCP流量以及限制环境中意外的和不需要的通信和协议。