新的 Ripple20 漏洞使数十亿联网设备面临被黑客攻击的风险

国土安全部和CISA ICS-CERT将发布一份重要的安全咨询警告，内容是关于十几个新发现的漏洞，这些漏洞影响了全球500多家供应商生产的数十亿互联网连接设备。

被称为“Ripple20”的19个漏洞存在于Treck开发的低级TCP/IP软件库中，如果将其武器化，可以让远程攻击者完全控制目标设备，而无需任何用户交互。

以色列网络安全公司JSOF发现了这些缺陷，根据该公司的说法，受影响的设备在各行各业都有使用，从家用/消费类设备到医疗、医疗保健、数据中心、企业、电信、石油、天然气、核能、交通以及其他许多关键基础设施。

“仅举几个例子:数据可能从打印机上被盗，输液泵的行为改变，或者工业控制设备可能出现故障。研究人员在与《黑客新闻》分享的一份报告中称:“攻击者可以在嵌入式设备中隐藏恶意代码多年。”

“其中一个漏洞可能导致从外部进入网络边界；这只是潜在风险的一小部分。”

Treck TCP/IP堆栈中有四个关键漏洞，CVSS得分超过9，攻击者可以远程在目标设备上执行任意代码，还有一个关键漏洞会影响DNS协议。

“其他15个漏洞的严重程度各不相同，CVSS得分从3.1到8.2不等，影响范围从拒绝服务到潜在的远程代码执行。”该报告称。

由于代码变化和堆栈可配置性，Treck或设备制造商多年来修补了一些Ripple20缺陷，出于同样的原因，许多缺陷还有几个变种，显然在供应商进行全面的风险评估之前不会很快修补。

• CVE-2020-11896 (CVSS v3基本分数10.0):在处理未经授权的网络攻击者发送的数据包时，对IPv4/UDP组件中长度参数不一致的处理不当。此漏洞可能导致远程代码执行。

• CVE-2020-11897 (CVSS v3基本分数10.0):在处理未经授权的网络攻击者发送的数据包时，对IPv6组件中长度参数不一致的处理不当。此漏洞可能导致越界写入。

• CVE-2020-11898 (CVSS v3基本分数9.8):在处理未经授权的网络攻击者发送的数据包时，对in IPv4组件中长度参数不一致的处理不当。此漏洞可能导致敏感信息泄露。

• CVE-2020-11899 (CVSS v3基础分数9.8):当处理未经授权的网络攻击者发送的数据包时，IPv6组件中的输入验证不正确。此漏洞可能会泄露敏感信息。

• CVE-2020-11900 (CVSS v3基础分数为9.3):在处理网络攻击者发送的数据包时，在IPv4隧道组件中可能出现双倍自由。此漏洞可能导致远程代码执行。

• CVE-2020-11901 (CVSS v3基本分数9.0):在处理未经授权的网络攻击者发送的数据包时，在DNS解析器组件中输入验证不正确。此漏洞可能导致远程代码执行。

你可以在美国政府发布的公告中找到其余漏洞的详细信息。

JSOF的网络安全研究人员负责任地向Treck公司报告了他们的发现，随后Treck公司用6.0.1.67或更高版本的TCP/IP协议栈修补了大部分缺陷。

研究人员还联系了500多家受影响的半导体和器件制造厂商，包括HP、Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, and Quadros，其中许多厂商已经承认存在缺陷，其余厂商仍在上市前对其产品进行评估。

“在一些参与供应商要求更多时间后，披露被推迟了两次，一些供应商表示与COVID-19有关的延迟。出于对这些公司的考虑，时间从90天延长到120多天。即便如此，一些参与公司变得难以应对，因为它们提出了额外的要求，而从我们的角度来看，一些公司似乎更关心自己的品牌形象，而不是修补漏洞，”研究人员说。

由于数百万台设备不会很快收到安全补丁更新来解决Ripple20漏洞，研究人员和ICS-CERT建议消费者和组织:

• 将所有控制系统设备和/或系统的网络暴露降至最低，并确保它们不可从互联网访问。
• 在防火墙后定位控制系统网络和远程设备，并将其与业务网络隔离。

除此之外，还建议使用虚拟专用网络通过互联网将您的设备安全地连接到基于云的服务。

在咨询中，CISA还要求受影响的组织在部署防御措施之前进行适当的影响分析和风险评估。