由於Treck公司的嵌入式TCP/IP函式庫受到廣泛的客戶採用,從HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar到Baxter不等,因此估計全球可能有數十億,甚至更多的連網裝置受到波及。情境示意圖,Photo by Kurt:S on https://www.flickr.com/photos/testlab/21496317363 (CC BY 2.0)

以色列資安顧問公司JSOF本周揭露了Ripple20漏洞,雖然名為Ripple20,但其實是由19個漏洞組成,這些漏洞存在於Treck所開發的嵌入式TCP/IP函式庫中,由於該公司的產品受到廣泛的客戶採用,從HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar到Baxter不等,因此估計全球可能有數十億,甚至更多的連網裝置受到波及。

1997年成立的Treck其實是家小公司,只服務特定的客戶群,但該公司的客戶卻有許多大企業,或是大企業的供應鏈。根據JSOF的追蹤,含有漏洞的TCP/IP函式庫被應用在工業裝置、電網、醫療裝置、家用裝置、網路裝置、企業裝置、零售裝置上,或者是部署在交通產業、石油暨天然氣產業、航空產業、政府部門或其它的IoT裝置上。目前JSOF列出了8家確定的Treck的客戶名單,以及逾60家尚待確認的Treck客戶名單。

不只是客戶類型廣泛,Treck在1990年代曾與日本業者Elmic Systems(之後更名為Zuken Elmic)合作,由雙方共同開發嵌入式TCP/IP函式庫,拆分後由Treck負責美國市場,亞洲市場則由Zuken Elmic主導,而JSOF此次在Treck函式庫所發現的漏洞中,有部份也存在於Zuken Elmic所出售的TCP/IP函式庫。

研究人員指出,在這19個安全漏洞中,絕大多數都是屬於零時差安全漏洞,並有4個被列為重大漏洞,允許駭客執行遠端程式攻擊,而這些漏洞可能會讓駭客盜走印表機的資料,變更輸液幫浦的行為,或是造成工業控制裝置故障等,駭客也可能把惡意程式藏匿在嵌入式裝置中。

JSOF在去年9月就發現了Ripple20漏洞,在與Treck協商後決定於本周公布漏洞細節,而Treck也已修補了相關漏洞並於官網上披露,這些漏洞涉及了IPv4、IPv6、UDP、DNS、DHCP、TCP、ICMPv4與ARP等協定。其中,被列為重大等級、CVSS 3.0風險等級超過9的4個漏洞,分別是CVE-2020-11896、CVE-2020-11897、CVE-2020-11901與CVE-2020-11898。

只要傳送多個異常的IPv4封包到支援IPv4通路的裝置,就能觸發CVE-2020-11896漏洞,儘管它只影響採用特定配置的裝置,但將允許駭客執行遠端程式攻擊,而且已被證實可用來開採工業物聯網業者Digi International所開發的裝置。CVE-2020-11897則是個越界寫入漏洞,當傳送多個異常的IPv6封包到裝置時,就能觸發該漏洞。

CVE-2020-11901也是個遠端攻擊漏洞,該漏洞肇因於DNS解析元件無法適當驗證輸入,駭客只要傳送一個特製的封包就能觸發該漏洞,並可能讓駭客取得裝置的控制權。CVE-2020-11898來自於IPv4/ICMPv4元件無法妥善處理長度不一的參數,收到特製封包時可能導致機密資訊外洩。

不僅是JSOF與Treck同時披露Ripple20漏洞,同一天提出漏洞示警的還有美國、日本與以色列的網路危機處理中心(CERT),以及受到相關漏洞波及的英特爾HPSchneider Electric


Advertisement

更多 iThome相關內容