Ripple20 0day漏洞曝光，扫荡全球各行业数亿台联网设备

以色列网络安全公司JSOF周二警告说，由于严重安全漏洞影响了Treck TCP/IP堆栈，全球数亿台（甚至更多）IoT设备可能会受到远程攻击。这一漏洞影响各行各业，波及家用/消费设备、医疗保健、数据中心、企业、电信、石油、天然气、核能、交通运输以及许多其他关键基础架构。

Treck TCP / IP是专门为嵌入式系统设计的高性能TCP / IP协议套件。JSOF研究人员发现该产品共有19个0day漏洞，影响Treck网络协议的专有实现，因在2020年报道出来，所以将这一系列漏洞统称为“Ripple20”。JSOF是一家专门从事物联网和嵌入式设备安全的公司。

嵌入式TCP / IP库中存在严重漏洞意味着什么？

全球数十亿台联网设备，从打印机和IP摄像机等消费类产品到跨组织使用的专用设备，例如视频会议系统和工业控制系统等，都面临攻击风险之中。

黑客可以利用其中的一些漏洞通过网络远程执行代码展开攻击，或在设备中隐藏恶意代码，可彻底损坏入侵设备，将在整个供应链行业中产生连锁反应。

内存损坏漏洞

19个漏洞都是内存损坏问题，源于使用不同协议（包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太网链路层）在网络上发送的数据包的处理错误。

通用漏洞评分系统（CVSS）中有两个漏洞被评为10级，这是最高的严重度评分。一种可能导致远程执行代码，另一种可能导致越界写入。其他两个漏洞的等级被评为9以上，这意味着它们也很关键，可能导致远程执行代码或泄露敏感信息。

而其他15个漏洞的严重程度不同，CVSS评分从3.1到8.2，影响范围从拒绝服务到潜在的远程执行代码。

虽然评分较低，但并不代表没有风险，因为CVSS分数并不总是根据设备类型反映出实际部署的风险。例如，在关键基础架构或医疗保健环境中，阻止设备执行其重要功能的拒绝服务漏洞可被视为关键漏洞，并可能造成灾难性后果。

部分漏洞已修复

多年来，由于代码更改和堆栈可配置性，Treck或设备制造商已修补了一些Ripple20漏洞，但这些漏洞具有多种变体，所以安全风险仍然很大。

目前Treck公司通过发布6.0.1.67或更高版本的TCP / IP堆栈来修复大多数漏洞。

以下是部分漏洞详细信息：

 CVE-2020-11896（CVSS v3基本得分10.0）：在处理由未经授权的网络攻击者发送的数据包时，对IPv4 / UDP组件中的长度参数不一致的处理不当。此漏洞可能导致远程执行代码。
 CVE-2020-11897（CVSS v3基本得分10.0）：在处理未经授权的网络攻击者发送的数据包时，对IPv6组件中的长度参数不一致的处理不当。此漏洞可能导致越界写入。
 CVE-2020-11898（CVSS v3基本得分9.1）：处理未经授权的网络攻击者发送的数据包时，对IPv4 / ICMPv4组件中的长度参数不一致的处理不当。此漏洞可能导致敏感信息暴露。
 CVE-2020-11901（CVSS v3基本得分9.0）：处理未经授权的网络攻击者发送的数据包时，DNS解析器组件中的输入验证不正确。此漏洞可能导致远程执行代码。

JSOF已与多家组织合作，协调漏洞披露和修补工作，包括CERT / CC，CISA，FDA，国家CERT，受影响的供应商和其他网络安全公司。

到目前为止，已经确认来自11个供应商的产品易受攻击，包括输液泵、打印机、UPS系统、网络设备、销售点设备、IP摄像机、视频会议系统、楼宇自动化设备和ICS设备等。但不止于此，研究人员认为这些漏洞可能会影响来自100多家供应商的数亿台设备。