网络安全专家今天披露了一个90年代设计的小型库中的19个漏洞,在过去的20多年里,该库已被广泛使用并集成到无数的企业级和消费级产品中。
受影响的产品包括智能家居设备、电网设备、医疗保健系统、工业设备、运输系统、打印机、路由器、移动/卫星通信设备、数据中心设备、商用飞机设备、各种企业解决方案等。
专家们现在担心,由于复杂或未跟踪的软件供应链,使用该库的所有产品很可能都将保持未打补丁。
出现问题的原因是,该库不仅被设备供应商直接使用,而且还集成到其他软件套件中,这意味着许多公司甚至没有意识到他们正在使用这段特定的代码,并且易受攻击的库的名称没有出现在他们的代码清单中。
这些漏洞--统称为Ripple20--影响了辛辛那提软件公司Treck开发的一个小型库。
据信该库于1997年首次发布,实现了一个轻量级TCP/IP堆栈。几十年来,公司一直在使用这个库来允许他们的设备或软件通过TCP/IP连接到互联网。
自2019年9月以来,位于以色列耶路撒冷的小型精品网络咨询公司JSOF的研究人员一直在研究Treck的TCP/IP协议栈,因为它覆盖了工业、医疗和智能设备市场。
他们的工作发现了严重的漏洞,JSOF团队一直在与不同国家的CERT(计算机应急响应团队)合作,协调漏洞披露和修补过程。
在上周接受ZDNet采访时,JSOF表示,这次行动涉及大量工作和不同的步骤,比如让Treck加入,确保Treck按时打补丁,然后找到所有易受攻击的设备,并联系每个受影响的供应商。
JSOF首席执行官什洛米·奥伯曼(Shlomi Oberman)告诉ZDNet,努力取得了成功。奥伯曼称赞CERT/CC在协调所有受影响供应商的漏洞披露过程中发挥了重要作用。
奥伯曼说,虽然Treck一开始保持沉默,认为它是敲诈勒索企图的对象,但现在已经完全加入。
在周一发给ZDNet的一封电子邮件中,Treck确认现在已经为所有Ripple20漏洞提供了补丁。
但JSOF表示,识别所有易受攻击设备的工作尚未完成。研究人员表示,他们将这19个漏洞命名为Ripple20,不是因为它们最初是20个漏洞,而是因为它们将在2020年和未来几年给物联网领域带来的连锁反应。
研究人员表示,当涉及到发现所有实现了Treck的TCP/IP库的设备时,他们只是触及了皮毛,许多设备供应商未来将需要验证他们自己的代码。
奥伯曼说,虽然不是所有的Ripple20漏洞都很严重,但有几个是极其危险的,允许攻击者从远程情况下接管易受攻击的系统。
在一份将于今天上线并由ZDNet在禁运下进行审查的安全咨询中,美国国土安全部(US Department Of Homeland Security)将CVSSv3漏洞严重程度量表(从1到10)上的10和9.8评级归因于Ripple 20漏洞中的4个。它们是:
CVE-2020-11896-CVSSv3分数:10-处理未经授权的网络攻击者发送的数据包时,ipv4/udp组件中的长度参数不一致处理不当。此漏洞可能导致远程代码执行。
CVE-2020-11897-CVSSv3分数:10-处理未经授权的网络攻击者发送的数据包时,ipv6组件中的长度参数不一致处理不当。此漏洞可能导致可能的越界写入。
CVE-2020-11898-CVSSv3得分:9.8-处理未经授权的网络攻击者发送的数据包时,ipv4/icmpv4组件中的长度参数不一致处理不当。此漏洞可能会导致敏感信息泄露。
CVE-2020-11899-CVSSv3分数:9.8-处理未经授权的网络攻击者发送的数据包时,ipv6组件中的输入验证不正确。此漏洞可能允许暴露敏感信息。
这四个漏洞在武器化后,可以让攻击者轻松接管智能设备或任何工业或医疗设备。如果设备在线连接,则可以通过互联网进行攻击;如果攻击者在内部网络上获得立足点(例如,通过受损的路由器),则可以从本地网络进行攻击。
这四个漏洞既是僵尸网络运营商的理想选择,也是定向攻击的理想选择。测试所有系统的Ripple20漏洞并对这四个问题打补丁尤其应该是所有公司的优先事项,这主要是因为Treck在整个软件领域的足迹很大。
目前预计Ripple20漏洞的影响与2019年7月披露的紧急/11漏洞相同,至今仍在调查中,并定期发现和打补丁新的易受攻击的设备。这种比较不是偶然的,因为紧急/11漏洞影响了VxWorks实时操作系统的TCP/IP(IPnet)网络堆栈,VxWorks实时操作系统是物联网和工业领域中广泛使用的另一种产品。
就像紧急/11的情况一样,一些产品将保持未打补丁,因为一些产品已经停产,或者供应商在此期间关闭了运营。
JSOF已被邀请在美国黑帽2020安全会议上就这些漏洞发表演讲。