Treck TCP/IP協議庫多個漏洞安全風險通告
360-CERT [三六零CERT](javascript:void(0)😉 今天
0x00 事件背景
2020年06月29日,360CERT監測到Treck官方發佈了Treck TCP/IPv4/IPv6 軟件庫的安全更新。
Treck TCP/IP 是專門爲嵌入式系統設計的高性能TCP/IP協議處理套件。
此次安全更新發布了多個漏洞補丁,其中CVE編號有19個,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。針對這一系列漏洞,JSOF(漏洞發現者)對其命名爲:Ripple20,19個漏洞都是內存損壞問題,漏洞類型主要爲遠程代碼執行漏洞、拒絕服務漏洞和緩衝區溢出漏洞,主要是Treck的軟件庫對不同協議數據包處理錯誤而造成的(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太網鏈路層)。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
0x01 風險等級
360CERT對該事件的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 中危 |
| 影響面 | 廣泛 |
0x02 漏洞詳情
1.該系列漏洞並非廣義的TCP/IP協議的漏洞;其危害不針對整個互聯網。
2.目前已公佈的受影響的設備均爲 IoT 設備,在 PC 設備領域沒有發現受到影響的設備。
3.該系列漏洞存在於 treck 公司開發的TCP/IP底層庫實現中。
4.根據 Ripple20 報告,該系列漏洞最高的危害是堆溢出造成遠程命令執行。
5.目前暫未統計出受影響的所有設備列表。
6.遠程命令執行需要構造複雜的系列數據包,利用難度非常高。
7.需要滿足特定條件纔可觸發漏洞。
如果發現相關設備存在漏洞,請及時聯繫設備廠商進行修復。或參考下方緩解措施。
部分漏洞可以造成的影響如下
| 漏洞編號(CVE-2020-*) | 造成影響 |
|---|---|
| 11896/11901 | 遠程代碼執行 |
| 11897/11904 | 越界寫 |
| 11898/11903/11905/11908 | 信息泄漏 |
| 11900 | UAF |
| 11899/11902/11910/11912/11913/11914 | 越界讀 |
| 11906/11907/11909 | 溢出 |
| 11911 | 水平越權 |
部分漏洞核心問題點以及臨時緩解方案如下
| 漏洞編號(CVE-2020-*) | 問題觸發點 | 緩解措施 |
|---|---|---|
| 11896/11907 | ip 分片處理 | 禁用該功能 |
| 11897/11906 | ipv4/ipv6 源路由功能 | 禁用該功能 |
| 11898/11900/11902 | ip-in-ip隧道 | 禁用該功能 |
| 11899 | ff00::/8 廣播包 | 禁止該地址廣播包 |
| 11901 | DNS | DNS數據包檢測;使用安全DNS |
| 11903/11905 | DHCPv4/DHCPv6 | 禁用 DHCP 客戶端;禁用 DHCP 中繼 |
| 11910/11911 | ICMP | 禁止特殊的ICMP報文(MTU/地址掩碼更新等) |
| 11913/11914 | 錯誤的以太網幀 | 丟棄格式錯誤的以太網幀 |
| 11912 | 錯誤的TCP 數據包 | 檢測 TCP SACK和時間戳,丟棄錯誤的TCP 數據包 |
0x03 影響版本
- Treck TCP/IP: <=6.0.1.66
0x04 修復建議
通用修補建議:
更新到 Treck TCP/IP 6.0.1.67 或更高版本。
臨時修補建議:
1.部署網絡掃描安全監測平臺,對內部網絡進行掃描監測,對披露的相關品牌資產進行識別,監測暴露的端口、協議接口等敏感信息。
2.部署網絡流量分析設備,進行深度數據包檢查,與網絡設備聯動丟棄錯誤的數據包。
3.部署 IDS/ IPS,對內部數據包進行簽名,拒絕非法通信數據包。
0x05 時間線
2020-06-17 JSOF發佈通告
2020-06-29 360CERT發佈通告
0x06 參考鏈接
- Overview- Ripple20 [https://www.jsof-tech.com/ripple20/]
- CVE-2020-11896 RCE CVE-2020-11898 Info Leak [https://www.jsof-tech.com/wp-content/uploads/2020/06/JSOF_Ripple20_Technical_Whitepaper_June20.pdf]
- CMU VU#257161 network mitigations [https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md]
轉載自https://mp.weixin.qq.com/s/f33yNxgVoreg7Giexyg-xg