新的Ripple20漏洞使数十亿互联网连接设备面临黑客攻击的风险

国土安全部（Department of Homeland Security）和CISA ICS-CERT（CISA ICS-CERT）今天就十几个新发现的漏洞，并发布了重要的安全咨询警告，这些安全漏洞影响了全球许多供应商生产的数十亿互联网连接设备。

被称为“涟漪20“这组共有19个漏洞存在于Treck开发的低级TCP/IP软件库中，如果将其武器化，远程攻击者可以在不需要任何用户交互的情况下完全控制目标设备。

据以色列网络安全公司JSOF—；谁发现了这些缺陷—；受影响的设备在各个行业都有使用，从家用/消费类设备到医疗、医疗保健、数据中心、企业、电信、石油、天然气、核能、交通等许多关键基础设施。

研究人员在与《黑客新闻》分享的一份报告中说：“仅举几个例子：打印机上的数据可能被盗，输液泵的行为可能改变，或者工业控制设备可能出现故障。攻击者可以在嵌入式设备中隐藏恶意代码多年。”。

“其中一个漏洞可能导致从外部进入网络边界；这只是潜在风险的一小部分。”

Treck TCP/IP协议栈中有四个关键漏洞，CVSS分数超过9，攻击者可以远程在目标设备上执行任意代码，一个关键漏洞会影响DNS协议。

报告称：“其他15个漏洞的严重程度在3.1到8.2之间，影响范围从拒绝服务到潜在的远程代码执行。”。

由于代码更改和堆栈可配置性，Treck或设备制造商多年来修补了一些Ripple20缺陷，出于同样的原因，许多缺陷还有几个变种，在供应商进行全面风险评估之前，这些变种显然不会很快修补。

• CVE-2020-11896（CVSS v3基本分数10.0）：处理未经授权的网络攻击者发送的数据包时，IPv4/UDP组件中长度参数不一致的处理不当。此漏洞可能导致远程代码执行。
• CVE-2020-11897（CVSS v3基本分数10.0）：处理未经授权的网络攻击者发送的数据包时，IPv6组件中长度参数不一致的处理不当。此漏洞可能导致可能的越界写入。
• CVE-2020-11898（CVSS v3基本分数9.8）：在处理未经授权的网络攻击者发送的数据包时，IPv4/ICMPv4组件中长度参数不一致的处理不当。此漏洞可能导致敏感信息泄露。
• CVE-2020-11899（CVSS v3基本分数9.8）：处理未经授权的网络攻击者发送的数据包时，IPv6组件中的输入验证不正确。此漏洞可能允许暴露敏感信息。
• CVE-2020-11900（CVSS v3基本得分为9.3分）：处理网络攻击者发送的数据包时，IPv4隧道组件中可能存在双重空闲。此漏洞可能导致远程代码执行。
• CVE-2020-11901（CVSS v3基本分数9.0）：处理未经授权的网络攻击者发送的数据包时，DNS解析程序组件中的输入验证不正确。此漏洞可能导致远程代码执行。

你可以在美国政府发布的公告中找到其余漏洞的详细信息。

JSOF的网络安全研究人员负责地向Treck公司报告了他们的发现，Treck公司随后发布了TCP/IP协议栈版本6.0.1.67或更高版本，修补了大部分缺陷。

研究人员还联系了受影响的半导体和设备制造商，包括—；惠普、施耐德电气、英特尔、罗克韦尔自动化、卡特彼勒、巴克斯特和Quadros—；其中许多公司已经承认了这一缺陷，其他公司在上市前仍在对其产品进行评估。

“在一些参与的供应商提出延长时间的要求后，披露被推迟了两次，其中一些供应商表示与新冠肺炎相关的延迟。考虑到这些公司，时间期限从90天延长到120多天。尽管如此，一些参与的公司变得难以处理，因为他们他们提出了额外的要求，从我们的角度来看，有些人似乎更关心他们品牌的形象，而不是修补漏洞，”研究人员说。
由于数以百万计的设备在短期内不会收到安全补丁更新来解决Ripple20漏洞，研究人员和ICS-CERT建议消费者和组织：

• 将所有控制系统设备和/或系统的网络暴露降至最低，并确保无法从互联网访问这些设备和/或系统。
• 在防火墙后面定位控制系统网络和远程设备，并将其与业务网络隔离。

除此之外，还建议使用虚拟专用网络通过互联网将设备安全连接到基于云的服务。