資安研究員發佈了一組Ripple20漏洞的相關資訊。這些漏洞可能對數百萬台物聯網(IoT ,Internet of Thing)造成嚴重影響,各個產業(醫療、石油和天然氣、交通運輸、電力和製造業等)的關鍵機器都可能會受到這些臭蟲影響。以色列網路安全公司 JSOF 發佈的技術報告內列出了有漏洞裝置的廠商列表。
此漏洞來自美國公司Treck Inc.在90年代後期所發布的軟體。它實作了輕量級TCP/IP堆疊(TCP/IP stack),讓企業可以透過TCP/IP連線將裝置或軟體連上網路。
波及範圍從一人精品店到財星500大的跨國公司
因為此軟體已經面世且被廣泛使用了多年,加上大大小小的企業都有越來越多的裝置連上網路,因此Ripple20所造成的影響會如此之大也就不令人驚訝了。正如研究報告指出,” Ripple20 影響到各個領域的關鍵物聯網裝置,各類廠商都包括在內。受影響廠商從一人精品店到財星500大的跨國公司都有。”
物聯網和工業物聯網 (IIoT)裝置需要輕量級網路元件來節省運算資源;只是第三方網路通訊軟體所帶來的問題也已經困擾多年。在2018年,FreeRTOS TCP/IP堆疊內的13個臭蟲造成家用和關鍵基礎設施的IoT裝置面臨危險。在2019年,醫療裝置和醫院網路受到一一組包含11個漏洞的Urgent/11。這些漏洞出現在支援網路通訊的第三方軟體元件IPnet內。攻擊者可以利用這些漏洞來遠端控制醫療裝置或使其無法運作。
有五個漏洞在八分以上,其中兩個更是達到了10分最高分
Treck Inc.軟體內的漏洞由於其影響深遠而特別引人注意,該軟體已經遍布世界各地,被許多不同廠商所直接或間接使用。發表該漏洞報告的 JSOF 公司執行長Shlomi Oberman在其新聞聲明裡指出:”並不是很多人聽說過這家公司,但他們是TCP-IP堆疊的領先廠商,所以他們處在這條非常複雜供應鏈相當前端的位置。”
具體來說,Ripple20由19個可被駭的漏洞所組成,當攻擊者成功利用了這些漏洞就能夠在連接的有漏洞裝置上執行任意程式碼。駭客可以透過本地網路或網際網路來連上有漏洞裝置並做到完全控制,這是個很嚴重的問題,因為有漏洞裝置包括在電力網路、製造廠和醫院內的裝置。臭蟲之一是DNS協定漏洞,厲害的駭客可以用它來攻擊沒有連到網際網路的裝置。JSOF概述了其他可能攻擊,包括:用有漏洞裝置來針對網路內的其他裝置,利用有漏洞裝置隱藏在網路內以及廣播攻擊來同時控制網路內所有受影響裝置。Treck 已經針對這些漏洞發布了安全更新。
美國網路安全暨基礎安全局(CISA)對這些漏洞進行評分,有五個在八分以上,其中兩個更是達到了10(最高分)。他們也建議使用者對這些漏洞採取”防禦措施” – 安裝來自Treck的更新、盡量減少網路暴露、部署防火牆、使用虛擬專用網路和內部DNS伺服器。
解決方案
檢測是避免攻擊者利用漏洞的第一步。有些時候裝備所有者甚至並不知道自己的環境中存在這些漏洞。EdgeIPS和EdgeFire等產品可以幫助使用者透過網路流量掃描來偵測Ripple 20漏洞。一旦發現,使用者應立即安裝廠商所提供的安全更新。
底下是其他能夠幫助使用者處理Ripple20的作法:
- 網路分段(Network Segmentation):OT網路環境應該要進行適當的內部分段(internal segmentation)和微分段(micro-segmentation)。裝備所有者可以使用EdgeFire經由通訊控制的NAT和ICS協定來進行內部分段。EdgeIPS可以進行深度的微分段。
- 網路政策控制:沒有恰當的解決方案就無法做到零信任(zero trust)原則。 EdgeFire和EdgeIPS可以為M2M通訊用IP地址、ICS協定和命令來實作網路存取白名單。
- 預防:對於高潛在危險,EdgeIPS和EdgeFire會更新規則集來防禦漏洞。
入侵指標
以下是Ripple20漏洞
- CVE-2020-11896
- CVE-2020-11897
- CVE-2020-11898
- CVE-2020-11899
- CVE-2020-11900
- CVE-2020-11901
- CVE-2020-11902
- CVE-2020-11903
- CVE-2020-11904
- CVE-2020-11905
- CVE-2020-11906
- CVE-2020-11907
- CVE-2020-11908
- CVE-2020-11909
- CVE-2020-11910
- CVE-2020-11911
- CVE-2020-11912
- CVE-2020-11913
- CVE-2020-11914
@原文出處:Millions of IoT Devices Affected by Ripple20 Vulnerabilities