0x01 事件背景
2020年06月29日,360CERT监测到Treck官方发布了Treck TCP/IPv4/IPv6 软件库的安全更新。
Treck TCP/IP 是专门为嵌入式系统设计的高性能TCP/IP协议处理套件。
此次安全更新发布了多个漏洞补丁,其中CVE编号有19个,包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。针对这一系列漏洞,JSOF(漏洞发现者)对其命名为:Ripple20,19个漏洞都是内存损坏问题,漏洞类型主要为远程代码执行漏洞、拒绝服务漏洞和缓冲区溢出漏洞,原因是Treck的软件库对不同协议数据包处理错误而造成的(包括IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,DHCP,DNS或以太网链路层)。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 中危 |
| 影响面 | 广泛 |
0x03 漏洞详情
- 该系列漏洞并非广义的TCP/IP协议的漏洞;其危害不针对整个互联网。
- 目前已公布的受影响的设备均为 IoT 设备,在 PC 设备领域没有发现受到影响的设备。
- 该系列漏洞存在于 treck 公司开发的TCP/IP底层库实现中。
- 根据 Ripple20 报告,该系列漏洞最高的危害是堆溢出造成远程命令执行。
- 目前暂未统计出受影响的所有设备列表。
- 远程命令执行需要构造复杂的系列数据包,利用难度非常高。
- 需要满足特定条件才可触发漏洞。
如果发现相关设备存在漏洞,请及时联系设备厂商进行修复。或参考下方缓解措施。
部分漏洞可以造成的影响如下
| 漏洞编号(CVE-2020-*) | 造成影响 |
|---|---|
| 11896/11901 | 远程代码执行 |
| 11897/11904 | 越界写 |
| 11898/11903/11905/11908 | 信息泄漏 |
| 11900 | UAF |
| 11899/11902/11910/11912/11913/11914 | 越界读 |
| 11906/11907/11909 | 溢出 |
| 11911 | 水平越权 |
部分漏洞核心问题点以及临时缓解方案如下
| 漏洞编号(CVE-2020-*) | 问题触发点 | 缓解措施 |
|---|---|---|
| 11896/11907 | ip 分片处理 | 禁用该功能 |
| 11897/11906 | ipv4/ipv6 源路由功能 | 禁用该功能 |
| 11898/11900/11902 | ip-in-ip隧道 | 禁用该功能 |
| 11899 | ff00::/8 广播包 | 禁止该地址广播包 |
| 11901 | DNS | DNS数据包检测;使用安全DNS |
| 11903/11905 | DHCPv4/DHCPv6 | 禁用 DHCP 客户端;禁用 DHCP 中继 |
| 11910/11911 | ICMP | 禁止特殊的ICMP报文(MTU/地址掩码更新等) |
| 11913/11914 | 错误的以太网帧 | 丢弃格式错误的以太网帧 |
| 11912 | 错误的TCP 数据包 | 检测 TCP SACK和时间戳,丢弃错误的TCP 数据包 |
0x04 影响版本
- Treck TCP/IP: <=6.0.1.66
0x05 修复建议
通用修补建议:
- 更新到 Treck TCP/IP 6.0.1.67 或更高版本。
临时修补建议:
- 部署网络扫描安全监测平台,对内部网络进行扫描监测,对披露的相关品牌资产进行识别,监测暴露的端口、协议接口等敏感信息。
- 部署网络流量分析设备,进行深度数据包检查,与网络设备联动丢弃错误的数据包。
- 部署 IDS/ IPS,对内部数据包进行签名,拒绝非法通信数据包。
0x06 时间线
2020-06-17 JSOF发布通告
2020-06-29 360CERT发布通告