咨询电话:400-001-1101

关于安盟

全部分类
您现在的位置:
/
/
关于Ripple20漏洞的防护

关于Ripple20漏洞的防护

  • 作者:
  • 发布时间:2020-07-02 00:00
  • 访问量:

【概要描述】

关于Ripple20漏洞的防护

【概要描述】

  • 分类:新闻资讯
  • 作者:
  • 来源:
  • 发布时间:2020-07-02 00:00
  • 访问量:
详情

  近日,网络安全界一条爆炸性消息Ripple20漏洞引起了众多用户的恐慌。下面我们简单对此漏洞做个分析。

  1、Ripple20 漏洞简介

  以色列网络安全公司JSOF的研究人员在Treck,Inc.开发的TCP/IP软件库中发现了19个0day漏洞,这一系列漏洞统称为“Ripple20”,全球数亿台(甚至更多)IoT设备可能会受到远程攻击。

  此类漏洞的风险很高,如果被恶意人员利用将会造成恶劣影响,举几个例子

  ● 利用漏洞从打印机上窃取数据;

  ● 导致输液泵发生故障;

  ● 导致工业控制设备出现故障;

  ● 恶意代码会在嵌入式设备中隐藏多年;

  ● 利用漏洞可以从外部网络进入内部。

  Ripple20影响了各个领域的关键IoT(物联网)设备,涉及了众多供应商,包括惠普、施耐德电气、英特尔、罗克韦尔自动化、卡特彼勒、百特医疗以及许多在医疗、运输、工业控制方面的国际供应商、企业、能源(石油/天然气)、电信、零售和商业以及其他行业。

图1.受影响的设备种类

  以下是CVE漏洞列表,其中CVSSv3评分越高,风险越大。

CVE ID

CVSSv3

描述

修复版本

CVE-2020-11896

10

在处理由未经授权的网络攻击者发送的数据包时,对IPv4 / UDP组件中的长度参数不一致的处理不当,该漏洞可能导致远程代码执行。

6.0.1.66
(release 30/03/2020)

CVE-2020-11897

10

在处理未经授权的网络攻击者发送的数据包时,对IPv6组件中的长度参数不一致的处理不当,该漏洞可能导致越界写入。

5.0.1.35
(release 04/06/2009)

CVE-2020-11901

9

处理未经授权的网络攻击者发送的数据包时,DNS解析器组件中的输入验证不正确,该漏洞可能导致远程代码执行。

6.0.1.66
(release 03/03/2020)

CVE-2020-11898

9.1

处理未经授权的网络攻击者发送的数据包时,对IPv4 / ICMPv4组件中的长度参数不一致的处理不当,该漏洞可能导致敏感信息泄露。

6.0.1.66
(release 03/03/2020)

CVE-2020-11900

8.2

处理网络攻击者发送的数据包时,IPv4隧道组件中可能存在双重释放。该漏洞可能导致应用崩溃、远程代码执行。

6.0.1.41
(release 10/15/2014)

CVE-2020-11902

7.3

处理未经授权的网络攻击者发送的数据包时,IPv6OverIPv4隧道组件中的输入验证不正确,该漏洞可能导致越界读取。

6.0.1.66
(release 03/03/20)

CVE-2020-11904

5.6

处理未经授权的网络攻击者发送的数据包时,内存分配组件中可能存在整数溢出,该漏洞可能导致越界写入。

6.0.1.66
(release 03/03/2020)

CVE-2020-11899

5.4

处理未经授权的网络攻击者发送的数据包时,IPv6组件中的输入验证不正确,该漏洞可能导致越界读取或拒绝服务。

6.0.1.66
(release 03/03/20)

CVE-2020-11903

5.3

处理未经授权的网络攻击者发送的数据包时,DHCP组件中存在越界读取问题。该漏洞可能导致敏感信息泄露。

6.0.1.28
(release 10/10/12)

CVE-2020-11905

5.3

处理未经授权的网络攻击者发送的数据包时,DHCPv6组件中存在越界读取问题,该漏洞可能导致敏感信息泄露。

6.0.1.66
(release 03/03/20)

CVE-2020-11906

5

在处理未经授权用户发送的数据包时,以太网链路层组件中输入验证不正确,该漏洞可能导致整数溢出。

6.0.1.66
(release 03/03/20)

CVE-2020-11907

5

处理未经授权的网络攻击者发送的数据包时,TCP组件中对参数长度不一致的处理不当,该漏洞可能导致整数溢出。

6.0.1.66
(release 03/03/20)

CVE-2020-11909

3.7

处理未经授权的网络攻击者发送的数据包时,IPv4组件中的输入验证不正确,该漏洞可能导致整数溢出。

6.0.1.66
(release 03/03/20)

CVE-2020-11910

3.7

处理未经授权的网络攻击者发送的数据包时,ICMPv4组件中的输入验证不正确,该漏洞可能导致越界读取。

6.0.1.66
(release 03/03/20)

CVE-2020-11911

3.7

处理未经授权的网络攻击者发送的数据包时,ICMPv4组件中的访问控制不正确,该漏洞可能导致关键资源的权限分配错误。

6.0.1.66
(release 03/03/20)

CVE-2020-11912

3.7

处理未经授权的网络攻击者发送的数据包时,TCP组件中的输入验证不正确,该漏洞可能导致越界读取。

6.0.1.66
(release 03/03/20)

CVE-2020-11913

3.7

处理未经授权的网络攻击者发送的数据包时,IPv6组件中的输入验证不正确,该漏洞可能导致越界读取。

6.0.1.66
(release 03/03/20)

CVE-2020-11914

3.1

处理未经授权的网络攻击者发送的数据包时,ARP组件中的输入验证不正确,该漏洞可能导致越界读取。

6.0.1.66
(release 03/03/20)

CVE-2020-11908

3.1

处理未经授权的网络攻击者发送的数据包时,DHCP组件中的Null Termination不正确,该漏洞可能导致敏感信息泄露。

4.7.1.27
(release 11/08/07)

  2、受影响厂商及可能受影响厂商。(统计更新时间 2020-6-29)

  查看原文:https://www.jsof-tech.com/ripple20/

  3、漏洞的产生原因及规避方法

  3.1原因

  1.TCP/IP设计之初主要是为了互联互通,并未充分考虑安全因素。

  2.TCP/IP协议栈的实现是由程序员完成的,有可能有意无意的引入漏洞。

  3.网络技术的复杂性高,不能一次性发现所有漏洞。

  3.2规避办法

  彻底解决网络协议漏洞的办法就是不使用TCP/IP 协议,但TCP/IP是国际版标准,不使用TCP/IP协议就意味着无法与外部网络、其他设备通信,如何在通信的基础上保障安全通信?

  此类问题可以采用协议转换的手段处理。通过协议剥离和重建屏蔽公有协议存在的风险,在协议转换的过程中,不合法的请求、响应数据不会被传输至另一端。

  以下是《GB/T 20279-2015 信息安全技术网络和终端隔离产品安全技术要求》中对协议转换的相关解释。

  4、建议使用安盟华御工业安全隔离装置(工业网闸)

  安盟华御工业安全隔离装置采用“2+1”的硬件架构,采用隔离交换模块硬件切断穿透性连接,设备内、外网主机间不传输网络层数据。使用私有协议进行通信,屏蔽公有协议(HTTP、FTP、SMB以及Treck公司TCP/IP套件所涉及的软、硬件产品)存在的风险,以摆渡的形式实现数据的安全交换。

  设备采用白名单工作机制,只有明确允许的协议、信令才可通过工业网闸下达至另一端网络中,屏蔽未知应用及风险。

  您也可以采用以下方式规避部分风险

  ● 联系您设备的供应商更新到Treck TCP/IP 6.0.1.67及以上版本。

  ● 减少嵌入式和关键设备的网络暴露,并确保无法从Internet访问;

  ● 定位防火墙防护的OT网络和设备,并将其与业务网络隔离;

  ● 建议使用虚拟专用网络(VPN);

  ● 阻止异常IP流量;

  ● 如果不需要,请禁用IP隧道;

  ● 强制执行TCP检查,拒绝格式错误的TCP数据包;

  ● 阻止未使用的ICMP控制消息;

  ● 通过安全的递归服务器或DNS检查防火墙规范DNS;

  ● 提供DHCP/DHCPv6安全性,并具有DHCP监听等功能;

  ● 如果不需要,请禁用/阻止IPv6多播功能;

  ● 在可以使用静态IP的地方禁用DHCP;

  5、应用案例

  安盟华御工业安全隔离装置已成功应用于电力、钢铁、煤炭、石油化工、烟草等领域,保障着国家关键信息基础设施的安全运行。

  ● 北京中海油总部

  ● 北京大唐新能源

  ● 新疆石河子煤化工

  ● 天津中石油大港石化

  ● 新疆轮台华能电厂项目

  ● 河北省秦皇岛宝世顺钢铁

  ● 北京海事局

  ● 河北省交通厅

  ● 福建省高速监控中心

  ● 内蒙古集通铁路集团

  ● 辽宁省大连市水务局

  ● 北京水利自动化研究所

  我司所有上市以及将要上市的设备均未使用Treck公司开发的TCP/IP套件,不存在Ripple20漏洞。

行业新闻       |      渠道合作       |       公司介绍       |       招贤纳才 

旗下子公司:        华御数观

北京安盟信息技术股份有限公司

邮政编码:100085

总部地址:北京市海淀区邓庄南路万家盛景大厦B座3A层

人力部:hr@anmit.com

销售部:sales@anmit.com

技术部:support@anmit.com

服务热线:400-001-1101

公司网址:http://www.anmit.com

这是描述信息

版权所有:北京安盟信息技术股份有限公司  网站建设:中企动力 北二分 京ICP备14050102号-1 京公网安备 11010802036550号  SEO标签