【漏洞通告】Treck TCP/IP協議庫“ Ripple20”漏洞通告
威脅對抗能力部 [綠盟科技安全情報](javascript:void(0)😉 昨天
通告編號:NS-2020-0039
2020-06-30
| TA****G: | Treck、TCP/IP協議庫、Ripple20 |
|---|---|
| 漏洞危害: | 攻擊者利用此類漏洞,可造成拒絕服務、遠程代碼執行等。 |
| 版本: | 1.0 |
1
漏洞概述
近日,以色列網絡安全公司JSOF的研究人員在Treck公司開發的底層 TCP/IP 軟件庫中發現了19個0day漏洞,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。這些漏洞被JSOF命名爲“Ripple20”。
Treck TCP/IP是專門爲嵌入式系統設計的高性能TCP/IP協議套件,這一系列漏洞都爲內存損壞問題,源於使用不同協議(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太網鏈路層)在網絡上發送的數據包的處理錯誤。“Ripple20”影響廣泛領域的物聯網設備,涉及HP、Schneider Electric、Cisco、Rockwell Automation、Caterpillar、Baxter等衆多供應商,可能導致loT設備受到拒絕服務和遠程命令執行等攻擊。
漏洞原理分析請參閱博客:http://blog.nsfocus.net/ripple20-0624/
參考鏈接:
https://treck.com/vulnerability-response-information
https://www.jsof-tech.com/ripple20
SEE MORE →
2影響範圍
受影響版本
- Treck TCP/IP = 6.0.1.66
- Treck TCP/IP = 6.0.1.41
- Treck TCP/IP = 6.0.1.28
- Treck TCP/IP = 5.0.1.35
- Treck TCP/IP = 4.7.1.27
不受影響版本
- Treck TCP/IP >= 6.0.1.67
3漏洞檢測
3.1 版本檢測
可通過針對代碼資產進行覈查,看是否使用了Treck的相關代碼,並從源代碼中查看軟件版本是否在受影響範圍。
針對二進制庫文件,可以使用如下命令查看庫文件的版本,確定是否使用了受影響的版本。
strings 驅動名稱 | grep -e “[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}”
3.2 產品檢測
3.2.1 遠程安全評估系統(RSAS)
綠盟科技遠程安全評估系統(RSAS)已具備針對Treck協議的檢測能力,請有部署設備的用戶升級至最新版本使用。
| 升級包版本號 | 升級包下載鏈接 | |
|---|---|---|
| RSAS V6 系統插件包 | V6.0R02F01.1901 | http://update.nsfocus.com/update/downloads/id/106109 |
關於RSAS的配置指導,請參考如下鏈接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
3.2.2 物聯網准入網關
綠盟科技物聯網准入網關,可以對物聯網設備進行主動探測發現,形成物聯網設備資產庫,並能通過對流量進行分析,形成攻擊畫像。
本次升級Treck漏洞指紋庫後,可以主動探測內網使用Treck協議棧的物聯網設備,並對這類設備產生告警。
針對發現有Treck漏洞的設備,如果發生攻擊行爲,物聯網准入網關,還可以對設備進行網絡阻斷。
3.3 本地關聯檢測
綠盟科技威脅情報中心第一時間收錄了此次漏洞的詳細信息,包括漏洞成因、受影響的產品版本和解決方案等。漏洞CPE字段包括了可機讀的影響產品字段,可以與用戶本地資產管理庫進行關聯,從而識別是否存在有影響的設備。
4漏洞防護
4.1 官方升級
目前官方已在最新版本中修復了該漏洞,請相關用戶排查基於Treck公司TCP/IP協議的設備使用情況,並及時升級至6.0.1.67或更高版本。
4.2 其他防護措施
1、加強網絡訪問控制,禁止非必要設備接入互聯網。設置網絡安全防護策略,僅啓用安全的遠程訪問,禁用IP隧道和IP源路由功能、強制執行TCP檢查、阻斷未使用的ICMP控制消息等。針對物聯網設備,禁止IP_IN_IP的訪問方式。
2、通過深度數據包檢查阻止異常IP流量,使用Suricata IDS自定義規則檢測利用Ripple20漏洞的異常IP流量。
如果使用的防護設備可以自定義規則,則可添加如下規則進行防護:
#IP-in-IP tunnel with fragmentsalert ip any any -> any any (msg:“VU#257161:CVE-2020-11896 Fragments inside IP-in-IP tunnel”; ip_proto:4; fragbits:M; rev:1;)
檢測規則下載地址:https://github.com/CERTCC/PoC-Exploits/tree/master/vu-257161
3、請相關用戶關注物聯網設備廠商的軟件更新公告,及時更新系統到最新版本。
5綠盟涉及情況說明
近日,在獲取到“Ripple20”漏洞的情況後,我司高度重視,第一時間組織了公司各產品線對所屬產品進行排查。經過公司產品、研發、技術人員的檢測,確定我司所有產品不受“Ripple20”漏洞影響,特此說明,請客戶放心使用。
綠盟科技將持續跟進“Ripple20”漏洞的最新動態,請您關注綠盟科技的官網、官微的公告內容。如有問題,您可以通過以下方式聯繫我們:
| 業務類型 | 支持熱線 | 服務時間 | |
|---|---|---|---|
| 安全產品與平臺售後服務 | 400-818-6868 轉接 013321167330 | [email protected] | 週一至週日7×24 小時全天服務 |
| 雲安全服務 | 400-818-6868 轉接 2 | [email protected] | |
| 購買諮詢 | 400-818-6868 轉接 1 | [email protected] |
您也可以通過公司官網進行在線諮詢:https://www.nsfocus.com.cn/html/6/61/169
轉載自https://mp.weixin.qq.com/s/Jv6uwvIiCOMEFfF5t6gIbw