数百万 IoT 设备遭受 TCP / IP 库中零日漏洞远程攻击
在TCP / IP堆栈/库中发现了19个漏洞(其中一些漏洞允许远程执行代码),这些漏洞存在于各行各业组织部署的数亿个IoT和OT设备。
研究人员称:“受影响的供应商范围从小型商店到财富500强跨国公司,包括惠普、施耐德电气、英特尔、罗克韦尔自动化、卡特彼勒、百特以及许多其他主要的国际供应商。”
关于易受攻击的TCP / IP软件库
易受攻击的库由位于美国的Treck和一家名为Elmic Systems(现为Zuken Elmic)的日本公司在1990年代开发。后期,两家公司分道扬镳,各自继续开发单独的堆栈/库分支。
Treck开发的一种产品-Treck TCP / IP –在美国销售,另一种名为Kasago TCP / IP的产品则由Zuken Elmic在亚洲销售。
库的高可靠性,性能和可配置性使它被广泛部署。
“ Treck TCP / IP库可以按原样使用,可以配置为多种用途,也可以合并到更大的库中。用户可以以源代码格式购买该库并进行大量编辑。可以将其合并到代码中,并植入各种类型的设备中。”研究人员解释说。
“原始购买者可以决定更名,或者可以由其他公司收购,而原始库中的历史记录会丢失在公司档案中。随着时间的流逝,原始的库组件可能几乎无法识别。这就是为什么在发现并修补原始漏洞很长时间之后,仍然可能仍然存在漏洞,因为跟踪供应链的踪迹实际上是不可能的。”
该漏洞是由JSOF的Moshe Kol和Shlomi Oberman在Treck TCP / IP库中发现的,Zuken Elmic确认其中一些影响了Kasago库。
关于漏洞
这些漏洞(编号为CVE-2020-11896至CVE-2020-11914)合称为Ripple20,范围从严重到低风险。四个启用远程代码执行。其他方法可用于实现敏感信息的披露,(持久)拒绝服务等。
研究人员指出:“关键漏洞之一是DNS协议中的漏洞,它可能被攻击者通过Internet从网络边界之外甚至在未连接到Internet的设备上利用。”
“大多数漏洞都是真实的零日漏洞,多年来,其中的4个漏洞已作为常规代码更改的一部分而关闭,但在某些受影响的设备中仍处于打开状态(严重程度较低3,高1)。由于多年以来的堆栈可配置性和代码更改,许多漏洞具有多种变体。”
研究人员计划发布其中一些技术报告,并计划于8月在美国黑帽公司(Black Hat USA)的施耐德电气APC UPS设备上演示DNS漏洞的利用。
协调披露
过去,Treck TCP / IP库没有得到安全研究人员的太多关注。在JSOF研究人员决定对其进行探查并发现缺陷之后,他们还发现与实现该方法的众多供应商联系将是一项耗时的工作。
Treck意识到了漏洞并加以修复,但坚持要求自己与代码库的客户和用户联系,并直接提供适当的补丁程序。
但是,由于某些漏洞也影响了Kasago库,因此JSOF在披露过程中涉及多个国家计算机应急响应小组(CERT)组织和监管机构。
“ CERT小组专注于识别和减轻安全风险的方法。例如,他们可以通过爆炸性公告,“大众邮件”将其广播到一长串参与公司名单中,从而将潜在的漏洞通知他们,从而将潜在用户的目标群体扩大到更大。一旦确定了用户,便可以一定程度上缓解风险。”研究人员解释说。
“虽然最好的解决办法是安装原始的Treck补丁,但在许多情况下无法安装原始的补丁。CERT致力于开发替代方法,即使无法选择打补丁,该方法也可用于最小化或有效消除风险。”
软件库的广泛传播(及其内部漏洞)是供应链涟漪效应’’的自然结果。单个易受攻击的组件尽管其本身可能相对较小,但可能会起波纹并影响广泛的行业,应用程序,公司和人员。”
他们告诉Help Net Security:“数字’20’表示我们从2020年开始披露程序,同时进一步象征并尊重我们的信念,即从最初的19个中可以发现其他漏洞的可能性。”
风险缓解
许多供应商已经确认他们的产品受到Ripple20漏洞的影响。JSOF已编制了受影响和不受影响的供应商的列表,该列表将不断更新。
设备供应商应将Treck库更新为固定版本(6.0.1.67或更高版本),而组织应检查其网络中是否存在受影响的设备,并与供应商联系以获取有关如何降低风险的更多信息。研究人员将应要求提供脚本,以帮助公司在其网络上识别Treck产品。
解决这些漏洞带来了自己的挑战,即使已经在网络上将其识别出来。有些已经有可用的补丁程序。但是仍存在困难,” Forescout首席执行官兼总裁Michael DeCesare 指出。
“由于存在这些类型的供应链漏洞和嵌入式组件,正在创建补丁的供应商不一定会发布该补丁。这可能会延迟补丁的发布。也不能保证设备供应商仍在营业,或仍支持设备。供应链的复杂性质也可能意味着该设备根本无法修补,即使它需要保留在网络上也是如此。在这种情况下,需要采用细分等缓解措施来限制其风险。”
