Ripple20 0day漏洞曝光,掃蕩全球各行業數億臺聯網設備
19 Zero-Day Vulnerabilities Amplified by the Supply Chain
Multiple Vulnerabilities in Treck IP Stack Affecting Cisco Products: June 2020
新的Ripple20漏洞使數十億互聯網連接設備面臨被黑客入侵的風險
Ripple 20:Treck TCP / IP堆棧中的缺陷使數以百萬計的物聯網設備遭受攻擊
JSOF研究實驗室在Treck.Inc開發的廣泛使用的低級TCP / IP軟件庫中發現了一系列零日漏洞。這19個漏洞(名爲Ripple20)影響億萬個設備(或更多), 幷包含多個遠程執行代碼漏洞。 這種情況下固有的風險很高。 僅舉幾個例子:數據可能會從打印機上竊取,輸液泵的行爲發生改變或工業控制設備出現故障。 攻擊者可能會在嵌入式設備中隱藏惡意代碼多年。 其中一個漏洞可能使您可以從外部進入網絡邊界。 這只是潛在風險的一小部分。
The JSOF research lab has discovered a series of zero-day vulnerabilities in a widely used low-level TCP/IP software library developed by Treck, Inc. The 19 vulnerabilities, given the name Ripple20, affect hundreds of millions of devices (or more) and include multiple remote code execution vulnerabilities. The risks inherent in this situation are high. Just a few examples: data could be stolen off of a printer, an infusion pump behavior changed, or industrial control devices could be made to malfunction. An attacker could hide malicious code within embedded devices for years. One of the vulnerabilities could enable entry from outside into the network boundaries; and this is only a small taste of the potential risks.
Ripple20的有趣之處在於其影響的不可思議的程度,被供應鏈因素放大了。 軟件庫的廣泛傳播(及其內部漏洞)是供應鏈「漣漪效應」的自然結果。 單個易受攻擊的組件雖然本身可能相對較小,但可以向外擴散以影響廣泛的行業、應用程序、公司和人員。
The interesting thing about Ripple20 is the incredible extent of its impact, magnified by the supply chain factor. The wide-spread dissemination of the software library (and its internal vulnerabilities) was a natural consequence of the supply chain 「ripple-effect」. A single vulnerable component, though it may be relatively small in and of itself, can ripple outward to impact a wide range of industries, applications, companies, and people.
Ripple20涉及了來自各個領域的關鍵物聯網設備,涉及了衆多供應商。 受影響的供應商範圍從一人的精品店到財富500強跨國公司,包括惠普,施耐德電氣,英特爾,羅克韋爾自動化,卡特彼勒,百特,以及許多其他在醫療,運輸,工業控制方面被認爲容易受到影響的主要國際供應商 ,企業,能源(石油/天然氣),電信,零售和商業以及其他行業。
Ripple20 reached critical IoT devices from a wide range of fields, involving a diverse group of vendors. Affected vendors range from one-person boutique shops to Fortune 500 multinational corporations, including HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, as well as many other major international vendors suspected of being of vulnerable in medical, transportation, industrial control, enterprise, energy (oil/gas), telecom, retail and commerce, and other industries.
有關這兩個漏洞及其利用的詳細技術報告,請參閱CVE-2020-11896 / CVE-2020-11898白皮書(單擊此處)。
A detailed technical report of two of the vulnerabilities and their exploitation can be found in the CVE-2020-11896/CVE-2020-11898 whitepaper (click here).
Ripple20對仍在使用的設備構成重大風險。潛在的風險場景包括
在所有情況下,攻擊者都可以遠程控制目標設備,而無需用戶干預。
JSOF建議採取措施以最小化或減輕設備開發的風險。 緩解方案取決於上下文。 設備供應商將採用與網絡運營商不同的方法。 通常,我們建議執行以下步驟:
確定是否使用了易受攻擊的Treck堆棧
聯繫Treck瞭解其中風險;
更新到最新的Treck堆棧版本(6.0.1.67或更高版本);
如果無法更新,請考慮禁用易受攻擊的功能;
將所有設備更新爲補丁程序版本;
如果無法更新設備,則可以:1、最小化嵌入式和關鍵設備的網絡暴露,將暴露程度保持在最低水平,並確保除非絕對必要,否則無法從Internet訪問設備。2、將OT網絡和設備隔離在防火牆後,並將其與業務網絡隔離。3、僅啓用安全的遠程訪問方法。
阻止異常IP流量;
通過深度數據包檢查來阻止網絡攻擊,以降低Treck嵌入式啓用TCP / IP的設備的風險。
供應商列表已通過不同方式精心組合,代表了可能受影響的供應商。 該列表僅包含CISA ICS-CERT已在內部文檔中列出並聯系過的供應商。
每個供應商內部調查的狀態由CISA ICS-CERT根據供應商的響應提供。 供應商表示他們沒有受到影響也被記錄下來,以用於問責目的和將來的查詢,如果他們再次被提出爲潛在受影響的產品。
受影響的產品列表可以在上面鏈接的供應商建議中找到,也可以直接從供應商處找到。
該列表將不時更新。 任何希望報告其他狀態或認爲有錯誤的供應商都可以通過協調機構或發送電子郵件至[email protected]進行報告。
以下供應商受到影響或可能受到影響。
(供應商列表的最新更新:2020年7月23日; 美國東部時間上午04:10)
ABB Green Hills Software Smiths Medical Aruba Networks HCL Tech Teradici B. Braun HP Xeroex Baxter HPE Zuken Elmic CareStream Intel Cater pillar Maxlinear Cisco Miele Dell Opto22 Digi International Rockwell Automation Eaton Schneider Electric
Status: Pending (71)
Status: Not Affected (25)