【Ripple20】工控系統供應鏈0day漏洞
一、參考資料
Ripple20 0day漏洞曝光,掃蕩全球各行業數億臺聯網設備
19 Zero-Day Vulnerabilities Amplified by the Supply Chain
Multiple Vulnerabilities in Treck IP Stack Affecting Cisco Products: June 2020
新的Ripple20漏洞使數十億互聯網連接設備面臨被黑客入侵的風險
Ripple 20:Treck TCP / IP堆棧中的缺陷使數以百萬計的物聯網設備遭受攻擊
二、簡介
JSOF研究實驗室在Treck.Inc開發的廣泛使用的低級TCP / IP軟件庫中發現了一系列零日漏洞。這19個漏洞(名爲Ripple20)影響億萬個設備(或更多), 幷包含多個遠程執行代碼漏洞。 這種情況下固有的風險很高。 僅舉幾個例子:數據可能會從打印機上竊取,輸液泵的行爲發生改變或工業控制設備出現故障。 攻擊者可能會在嵌入式設備中隱藏惡意代碼多年。 其中一個漏洞可能使您可以從外部進入網絡邊界。 這只是潛在風險的一小部分。
The JSOF research lab has discovered a series of zero-day vulnerabilities in a widely used low-level TCP/IP software library developed by Treck, Inc. The 19 vulnerabilities, given the name Ripple20, affect hundreds of millions of devices (or more) and include multiple remote code execution vulnerabilities. The risks inherent in this situation are high. Just a few examples: data could be stolen off of a printer, an infusion pump behavior changed, or industrial control devices could be made to malfunction. An attacker could hide malicious code within embedded devices for years. One of the vulnerabilities could enable entry from outside into the network boundaries; and this is only a small taste of the potential risks.
Ripple20的有趣之處在於其影響的不可思議的程度,被供應鏈因素放大了。 軟件庫的廣泛傳播(及其內部漏洞)是供應鏈「漣漪效應」的自然結果。 單個易受攻擊的組件雖然本身可能相對較小,但可以向外擴散以影響廣泛的行業、應用程序、公司和人員。
The interesting thing about Ripple20 is the incredible extent of its impact, magnified by the supply chain factor. The wide-spread dissemination of the software library (and its internal vulnerabilities) was a natural consequence of the supply chain 「ripple-effect」. A single vulnerable component, though it may be relatively small in and of itself, can ripple outward to impact a wide range of industries, applications, companies, and people.
Ripple20涉及了來自各個領域的關鍵物聯網設備,涉及了衆多供應商。 受影響的供應商範圍從一人的精品店到財富500強跨國公司,包括惠普,施耐德電氣,英特爾,羅克韋爾自動化,卡特彼勒,百特,以及許多其他在醫療,運輸,工業控制方面被認爲容易受到影響的主要國際供應商 ,企業,能源(石油/天然氣),電信,零售和商業以及其他行業。
Ripple20 reached critical IoT devices from a wide range of fields, involving a diverse group of vendors. Affected vendors range from one-person boutique shops to Fortune 500 multinational corporations, including HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, as well as many other major international vendors suspected of being of vulnerable in medical, transportation, industrial control, enterprise, energy (oil/gas), telecom, retail and commerce, and other industries.
有關這兩個漏洞及其利用的詳細技術報告,請參閱CVE-2020-11896 / CVE-2020-11898白皮書(單擊此處)。
A detailed technical report of two of the vulnerabilities and their exploitation can be found in the CVE-2020-11896/CVE-2020-11898 whitepaper (click here).
三、風險評估與緩解方案
Ripple20對仍在使用的設備構成重大風險。潛在的風險場景包括
- 如果網絡面向互聯網,則來自網絡外部的攻擊者將控制網絡中的設備
- 已經設法滲透到網絡中的攻擊者可以使用庫漏洞來針對網絡中的特定設備
- 攻擊者可以廣播能夠同時接管網絡中所有受影響設備的攻擊
- 攻擊者可能利用受影響的設備作爲隱藏在網絡中多年的方法
- 複雜的攻擊者可能會從網絡邊界外部對網絡內的設備進行攻擊,從而繞過NAT配置。 這可以通過執行MITM攻擊或DNS緩存中毒來完成。
- 在某些情況下,攻擊者可以通過繞過NAT答覆離開網絡邊界的數據包來從網絡外部執行攻擊
在所有情況下,攻擊者都可以遠程控制目標設備,而無需用戶干預。
JSOF建議採取措施以最小化或減輕設備開發的風險。 緩解方案取決於上下文。 設備供應商將採用與網絡運營商不同的方法。 通常,我們建議執行以下步驟:
針對設備供應商
確定是否使用了易受攻擊的Treck堆棧
聯繫Treck瞭解其中風險;
更新到最新的Treck堆棧版本(6.0.1.67或更高版本);
如果無法更新,請考慮禁用易受攻擊的功能;
針對運營商和網絡用戶(基於CERT / CC和CISA ICS-CERT建議)
將所有設備更新爲補丁程序版本;
如果無法更新設備,則可以:1、最小化嵌入式和關鍵設備的網絡暴露,將暴露程度保持在最低水平,並確保除非絕對必要,否則無法從Internet訪問設備。2、將OT網絡和設備隔離在防火牆後,並將其與業務網絡隔離。3、僅啓用安全的遠程訪問方法。
阻止異常IP流量;
通過深度數據包檢查來阻止網絡攻擊,以降低Treck嵌入式啓用TCP / IP的設備的風險。
四、受影響的廠商
供應商列表已通過不同方式精心組合,代表了可能受影響的供應商。 該列表僅包含CISA ICS-CERT已在內部文檔中列出並聯系過的供應商。
每個供應商內部調查的狀態由CISA ICS-CERT根據供應商的響應提供。 供應商表示他們沒有受到影響也被記錄下來,以用於問責目的和將來的查詢,如果他們再次被提出爲潛在受影響的產品。
受影響的產品列表可以在上面鏈接的供應商建議中找到,也可以直接從供應商處找到。
該列表將不時更新。 任何希望報告其他狀態或認爲有錯誤的供應商都可以通過協調機構或發送電子郵件至[email protected]進行報告。
以下供應商受到影響或可能受到影響。
(供應商列表的最新更新:2020年7月23日; 美國東部時間上午04:10)
ABB Green Hills Software Smiths Medical Aruba Networks HCL Tech Teradici B. Braun HP Xeroex Baxter HPE Zuken Elmic CareStream Intel Cater pillar Maxlinear Cisco Miele Dell Opto22 Digi International Rockwell Automation Eaton Schneider Electric
Status: Pending (71)
Status: Not Affected (25)