Ripple20漏洞将在未来几年困扰物联网环境

网络安全专家今天披露了一个90年代设计的小型库中的19个漏洞，在过去的20多年里，该库已被广泛使用并集成到无数的企业级和消费级产品中。

受影响的产品包括智能家居设备、电网设备、医疗保健系统、工业设备、运输系统、打印机、路由器、移动/卫星通信设备、数据中心设备、商用飞机设备、各种企业解决方案等。

专家们现在担心，由于复杂或未跟踪的软件供应链，使用该库的所有产品很可能都将保持未打补丁。

出现问题的原因是，该库不仅被设备供应商直接使用，而且还集成到其他软件套件中，这意味着许多公司甚至没有意识到他们正在使用这段特定的代码，并且易受攻击的库的名称没有出现在他们的代码清单中。

这些漏洞--统称为Ripple20--影响了辛辛那提软件公司Treck开发的一个小型库。

据信该库于1997年首次发布，实现了一个轻量级TCP/IP堆栈。几十年来，公司一直在使用这个库来允许他们的设备或软件通过TCP/IP连接到互联网。

自2019年9月以来，位于以色列耶路撒冷的小型精品网络咨询公司JSOF的研究人员一直在研究Treck的TCP/IP协议栈，因为它覆盖了工业、医疗和智能设备市场。

他们的工作发现了严重的漏洞，JSOF团队一直在与不同国家的CERT(计算机应急响应团队)合作，协调漏洞披露和修补过程。

在上周接受ZDNet采访时，JSOF表示，这次行动涉及大量工作和不同的步骤，比如让Treck加入，确保Treck按时打补丁，然后找到所有易受攻击的设备，并联系每个受影响的供应商。

JSOF首席执行官什洛米·奥伯曼(Shlomi Oberman)告诉ZDNet，努力取得了成功。奥伯曼称赞CERT/CC在协调所有受影响供应商的漏洞披露过程中发挥了重要作用。

奥伯曼说，虽然Treck一开始保持沉默，认为它是敲诈勒索企图的对象，但现在已经完全加入。

在周一发给ZDNet的一封电子邮件中，Treck确认现在已经为所有Ripple20漏洞提供了补丁。

但JSOF表示，识别所有易受攻击设备的工作尚未完成。研究人员表示，他们将这19个漏洞命名为Ripple20，不是因为它们最初是20个漏洞，而是因为它们将在2020年和未来几年给物联网领域带来的连锁反应。

研究人员表示，当涉及到发现所有实现了Treck的TCP/IP库的设备时，他们只是触及了皮毛，许多设备供应商未来将需要验证他们自己的代码。

奥伯曼说，虽然不是所有的Ripple20漏洞都很严重，但有几个是极其危险的，允许攻击者从远程情况下接管易受攻击的系统。

在一份将于今天上线并由ZDNet在禁运下进行审查的安全咨询中，美国国土安全部(US Department Of Homeland Security)将CVSSv3漏洞严重程度量表(从1到10)上的10和9.8评级归因于Ripple 20漏洞中的4个。它们是：

CVE-2020-11896-CVSSv3分数：10-处理未经授权的网络攻击者发送的数据包时，ipv4/udp组件中的长度参数不一致处理不当。此漏洞可能导致远程代码执行。

CVE-2020-11897-CVSSv3分数：10-处理未经授权的网络攻击者发送的数据包时，ipv6组件中的长度参数不一致处理不当。此漏洞可能导致可能的越界写入。

CVE-2020-11898-CVSSv3得分：9.8-处理未经授权的网络攻击者发送的数据包时，ipv4/icmpv4组件中的长度参数不一致处理不当。此漏洞可能会导致敏感信息泄露。

CVE-2020-11899-CVSSv3分数：9.8-处理未经授权的网络攻击者发送的数据包时，ipv6组件中的输入验证不正确。此漏洞可能允许暴露敏感信息。

这四个漏洞在武器化后，可以让攻击者轻松接管智能设备或任何工业或医疗设备。如果设备在线连接，则可以通过互联网进行攻击；如果攻击者在内部网络上获得立足点(例如，通过受损的路由器)，则可以从本地网络进行攻击。

这四个漏洞既是僵尸网络运营商的理想选择，也是定向攻击的理想选择。测试所有系统的Ripple20漏洞并对这四个问题打补丁尤其应该是所有公司的优先事项，这主要是因为Treck在整个软件领域的足迹很大。

目前预计Ripple20漏洞的影响与2019年7月披露的紧急/11漏洞相同，至今仍在调查中，并定期发现和打补丁新的易受攻击的设备。这种比较不是偶然的，因为紧急/11漏洞影响了VxWorks实时操作系统的TCP/IP(IPnet)网络堆栈，VxWorks实时操作系统是物联网和工业领域中广泛使用的另一种产品。

就像紧急/11的情况一样，一些产品将保持未打补丁，因为一些产品已经停产，或者供应商在此期间关闭了运营。

JSOF已被邀请在美国黑帽2020安全会议上就这些漏洞发表演讲。