关于安盟
关于Ripple20漏洞的防护
- 作者:
- 发布时间:2020-07-02 00:00
- 访问量:
【概要描述】
近日,网络安全界一条爆炸性消息Ripple20漏洞引起了众多用户的恐慌。下面我们简单对此漏洞做个分析。
1、Ripple20 漏洞简介
以色列网络安全公司JSOF的研究人员在Treck,Inc.开发的TCP/IP软件库中发现了19个0day漏洞,这一系列漏洞统称为“Ripple20”,全球数亿台(甚至更多)IoT设备可能会受到远程攻击。
此类漏洞的风险很高,如果被恶意人员利用将会造成恶劣影响,举几个例子
● 利用漏洞从打印机上窃取数据;
● 导致输液泵发生故障;
● 导致工业控制设备出现故障;
● 恶意代码会在嵌入式设备中隐藏多年;
● 利用漏洞可以从外部网络进入内部。
Ripple20影响了各个领域的关键IoT(物联网)设备,涉及了众多供应商,包括惠普、施耐德电气、英特尔、罗克韦尔自动化、卡特彼勒、百特医疗以及许多在医疗、运输、工业控制方面的国际供应商、企业、能源(石油/天然气)、电信、零售和商业以及其他行业。
图1.受影响的设备种类
以下是CVE漏洞列表,其中CVSSv3评分越高,风险越大。
|
CVE ID |
CVSSv3 |
描述 |
修复版本 |
|
CVE-2020-11896 |
10 |
在处理由未经授权的网络攻击者发送的数据包时,对IPv4 / UDP组件中的长度参数不一致的处理不当,该漏洞可能导致远程代码执行。 |
6.0.1.66 |
|
CVE-2020-11897 |
10 |
在处理未经授权的网络攻击者发送的数据包时,对IPv6组件中的长度参数不一致的处理不当,该漏洞可能导致越界写入。 |
5.0.1.35 |
|
CVE-2020-11901 |
9 |
处理未经授权的网络攻击者发送的数据包时,DNS解析器组件中的输入验证不正确,该漏洞可能导致远程代码执行。 |
6.0.1.66 |
|
CVE-2020-11898 |
9.1 |
处理未经授权的网络攻击者发送的数据包时,对IPv4 / ICMPv4组件中的长度参数不一致的处理不当,该漏洞可能导致敏感信息泄露。 |
6.0.1.66 |
|
CVE-2020-11900 |
8.2 |
处理网络攻击者发送的数据包时,IPv4隧道组件中可能存在双重释放。该漏洞可能导致应用崩溃、远程代码执行。 |
6.0.1.41 |
|
CVE-2020-11902 |
7.3 |
处理未经授权的网络攻击者发送的数据包时,IPv6OverIPv4隧道组件中的输入验证不正确,该漏洞可能导致越界读取。 |
6.0.1.66 |
|
CVE-2020-11904 |
5.6 |
处理未经授权的网络攻击者发送的数据包时,内存分配组件中可能存在整数溢出,该漏洞可能导致越界写入。 |
6.0.1.66 |
|
CVE-2020-11899 |
5.4 |
处理未经授权的网络攻击者发送的数据包时,IPv6组件中的输入验证不正确,该漏洞可能导致越界读取或拒绝服务。 |
6.0.1.66 |
|
CVE-2020-11903 |
5.3 |
处理未经授权的网络攻击者发送的数据包时,DHCP组件中存在越界读取问题。该漏洞可能导致敏感信息泄露。 |
6.0.1.28 |
|
CVE-2020-11905 |
5.3 |
处理未经授权的网络攻击者发送的数据包时,DHCPv6组件中存在越界读取问题,该漏洞可能导致敏感信息泄露。 |
6.0.1.66 |
|
CVE-2020-11906 |
5 |
在处理未经授权用户发送的数据包时,以太网链路层组件中输入验证不正确,该漏洞可能导致整数溢出。 |
6.0.1.66 |
|
CVE-2020-11907 |
5 |
处理未经授权的网络攻击者发送的数据包时,TCP组件中对参数长度不一致的处理不当,该漏洞可能导致整数溢出。 |
6.0.1.66 |
|
CVE-2020-11909 |
3.7 |
处理未经授权的网络攻击者发送的数据包时,IPv4组件中的输入验证不正确,该漏洞可能导致整数溢出。 |
6.0.1.66 |
|
CVE-2020-11910 |
3.7 |
处理未经授权的网络攻击者发送的数据包时,ICMPv4组件中的输入验证不正确,该漏洞可能导致越界读取。 |
6.0.1.66 |
|
CVE-2020-11911 |
3.7 |
处理未经授权的网络攻击者发送的数据包时,ICMPv4组件中的访问控制不正确,该漏洞可能导致关键资源的权限分配错误。 |
6.0.1.66 |
|
CVE-2020-11912 |
3.7 |
处理未经授权的网络攻击者发送的数据包时,TCP组件中的输入验证不正确,该漏洞可能导致越界读取。 |
6.0.1.66 |
|
CVE-2020-11913 |
3.7 |
处理未经授权的网络攻击者发送的数据包时,IPv6组件中的输入验证不正确,该漏洞可能导致越界读取。 |
6.0.1.66 |
|
CVE-2020-11914 |
3.1 |
处理未经授权的网络攻击者发送的数据包时,ARP组件中的输入验证不正确,该漏洞可能导致越界读取。 |
6.0.1.66 |
|
CVE-2020-11908 |
3.1 |
处理未经授权的网络攻击者发送的数据包时,DHCP组件中的Null Termination不正确,该漏洞可能导致敏感信息泄露。 |
4.7.1.27 |
2、受影响厂商及可能受影响厂商。(统计更新时间 2020-6-29)
查看原文:https://www.jsof-tech.com/ripple20/
3、漏洞的产生原因及规避方法
3.1原因
1.TCP/IP设计之初主要是为了互联互通,并未充分考虑安全因素。
2.TCP/IP协议栈的实现是由程序员完成的,有可能有意无意的引入漏洞。
3.网络技术的复杂性高,不能一次性发现所有漏洞。
3.2规避办法
彻底解决网络协议漏洞的办法就是不使用TCP/IP 协议,但TCP/IP是国际版标准,不使用TCP/IP协议就意味着无法与外部网络、其他设备通信,如何在通信的基础上保障安全通信?
此类问题可以采用协议转换的手段处理。通过协议剥离和重建屏蔽公有协议存在的风险,在协议转换的过程中,不合法的请求、响应数据不会被传输至另一端。
以下是《GB/T 20279-2015 信息安全技术网络和终端隔离产品安全技术要求》中对协议转换的相关解释。
4、建议使用安盟华御工业安全隔离装置(工业网闸)
安盟华御工业安全隔离装置采用“2+1”的硬件架构,采用隔离交换模块硬件切断穿透性连接,设备内、外网主机间不传输网络层数据。使用私有协议进行通信,屏蔽公有协议(HTTP、FTP、SMB以及Treck公司TCP/IP套件所涉及的软、硬件产品)存在的风险,以摆渡的形式实现数据的安全交换。
设备采用白名单工作机制,只有明确允许的协议、信令才可通过工业网闸下达至另一端网络中,屏蔽未知应用及风险。
您也可以采用以下方式规避部分风险
● 联系您设备的供应商更新到Treck TCP/IP 6.0.1.67及以上版本。
● 减少嵌入式和关键设备的网络暴露,并确保无法从Internet访问;
● 定位防火墙防护的OT网络和设备,并将其与业务网络隔离;
● 建议使用虚拟专用网络(VPN);
● 阻止异常IP流量;
● 如果不需要,请禁用IP隧道;
● 强制执行TCP检查,拒绝格式错误的TCP数据包;
● 阻止未使用的ICMP控制消息;
● 通过安全的递归服务器或DNS检查防火墙规范DNS;
● 提供DHCP/DHCPv6安全性,并具有DHCP监听等功能;
● 如果不需要,请禁用/阻止IPv6多播功能;
● 在可以使用静态IP的地方禁用DHCP;
5、应用案例
安盟华御工业安全隔离装置已成功应用于电力、钢铁、煤炭、石油化工、烟草等领域,保障着国家关键信息基础设施的安全运行。
● 北京中海油总部
● 北京大唐新能源
● 新疆石河子煤化工
● 天津中石油大港石化
● 新疆轮台华能电厂项目
● 河北省秦皇岛宝世顺钢铁
● 北京海事局
● 河北省交通厅
● 福建省高速监控中心
● 内蒙古集通铁路集团
● 辽宁省大连市水务局
● 北京水利自动化研究所
我司所有上市以及将要上市的设备均未使用Treck公司开发的TCP/IP套件,不存在Ripple20漏洞。
版权所有:北京安盟信息技术股份有限公司 网站建设:中企动力 北二分 京ICP备14050102号-1 京公网安备 11010802036550号 SEO标签