一. 漏洞概述
近日,以色列網路安全公司JSOF的研究人員在Treck公司開發的底層 TCP/IP 軟體庫中發現了19個0day漏洞,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。這些漏洞被JSOF命名為“Ripple20”。
Treck TCP/IP是專門為嵌入式系統設計的高效能TCP/IP協議套件,這一系列漏洞都為記憶體損壞問題,源於使用不同協議(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或乙太網鏈路層)在網路上傳送的資料包的處理錯誤。“Ripple20”影響廣泛領域的物聯網裝置,涉及HP、Schneider Electric、Cisco、Rockwell Automation、Caterpillar、Baxter等眾多供應商,可能導致loT裝置受到拒絕服務和遠端命令執行等攻擊。
漏洞原理分析請參閱部落格:
http://blog.nsfocus.net/ripple20-0624/
參考連結:
https://treck.com/vulnerability-response-information
https://www.jsof-tech.com/ripple20
二. 影響範圍
受影響版本
Treck TCP/IP = 6.0.1.66
Treck TCP/IP = 6.0.1.41
Treck TCP/IP = 6.0.1.28
Treck TCP/IP = 5.0.1.35
Treck TCP/IP = 4.7.1.27
不受影響版本
Treck TCP/IP >= 6.0.1.67
三. 漏洞檢測
3.1 版本檢測
可透過針對程式碼資產進行核查,看是否使用了Treck的相關程式碼,並從原始碼中檢視軟體版本是否在受影響範圍。
針對二進位制庫檔案,可以使用如下命令檢視庫檔案的版本,確定是否使用了受影響的版本。
3.2 產品檢測
3.2.1 遠端安全評估系統(RSAS)
綠盟科技遠端安全評估系統(RSAS)已具備針對Treck協議的檢測能力,請有部署裝置的使用者升級至最新版本使用。
關於RSAS的配置指導,請參考如下連結:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
3.2.2 物聯網准入閘道器
綠盟科技物聯網准入閘道器,可以對物聯網裝置進行主動探測發現,形成物聯網裝置資產庫,並能透過對流量進行分析,形成攻擊畫像。
本次升級Treck漏洞指紋庫後,可以主動探測內網使用Treck協議棧的物聯網裝置,並對這類裝置產生告警。
針對發現有Treck漏洞的裝置,如果發生攻擊行為,物聯網准入閘道器,還可以對裝置進行網路阻斷。
3.3 本地關聯檢測
綠盟科技威脅情報中心第一時間收錄了此次漏洞的詳細資訊,包括漏洞成因、受影響的產品版本和解決方案等。漏洞CPE欄位包括了可機讀的影響產品欄位,可以與使用者本地資產管理庫進行關聯,從而識別是否存在有影響的裝置。
四. 漏洞防護
4.1 官方升級
目前官方已在最新版本中修復了該漏洞,請相關使用者排查基於Treck公司TCP/IP協議的裝置使用情況,並及時升級至6.0.1.67或更高版本。
4.2 其他防護措施
1、加強網路訪問控制,禁止非必要裝置接入網際網路。設定網路安全防護策略,僅啟用安全的遠端訪問,禁用IP隧道和IP源路由功能、強制執行TCP檢查、阻斷未使用的ICMP控制訊息等。針對物聯網裝置,禁止IP_IN_IP的訪問方式。
2、透過深度資料包檢查阻止異常IP流量,使用Suricata IDS自定義規則檢測利用Ripple20漏洞的異常IP流量。
如果使用的防護裝置可以自定義規則,則可新增如下規則進行防護:
檢測規則下載地址:https://github.com/CERTCC/PoC-Exploits/tree/master/vu-257161
3、請相關使用者關注物聯網裝置廠商的軟體更新公告,及時更新系統到最新版本。
五. 綠盟涉及情況說明
近日,在獲取到“Ripple20”漏洞的情況後,我司高度重視,第一時間組織了公司各產品線對所屬產品進行排查。經過公司產品、研發、技術人員的檢測,確定我司所有產品不受“Ripple20”漏洞影響,特此說明,請客戶放心使用。
綠盟科技將持續跟進“Ripple20”漏洞的最新動態,請您關注綠盟科技的官網、官微的公告內容。如有問題,您可以透過以下方式聯絡我們:
您也可以透過公司官網進行線上諮詢:https://www.nsfocus.com.cn/html/6/61/169
宣告
本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由於傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。
綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權宣告等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用於商業目的。
關於綠盟科技
綠盟科技集團股份有限公司(簡稱綠盟科技)成立於2000年4月,總部位於北京。在國內外設有40個分支機構,為政府、運營商、金融、能源、網際網路以及教育、醫療等行業使用者,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢執行。
基於多年的安全攻防研究,綠盟科技在網路及終端安全、網際網路基礎安全、合規及安全管理等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠端安全評估以及Web安全防護等產品以及專業安全服務。
綠盟科技集團股份有限公司於2014年1月29日起在深圳證券交易所創業板上市,股票簡稱:綠盟科技,股票程式碼:300369。