19 уязвимостей, некоторые из которых делают возможным удаленное выполнение кода, были обнаружены в стеке / библиотеке TCP / IP, используемых в сотнях миллионов устройств IoT и OT, развернутых организациями в самых разных отраслях и секторах.
«Затронутые поставщики варьируются от бутиков для одного человека до многонациональных корпораций Fortune 500, включая HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, а также многих других крупных международных поставщиков», - говорят исследователи, обнаружившие недостатки.
Об уязвимой библиотеке программного обеспечения TCP / IP
Уязвимая библиотека была разработана американской компанией Treck и японской компанией Elmic Systems (ныне Zuken Elmic) в 1990-х годах. В какой-то момент обе компании расстались, и каждая из них продолжила разработку отдельной ветви стека / библиотеки.
Одна из них, разработанная компанией Treck - Treck TCP / IP, продается в США, а другая, получившая название Kasago TCP / IP, продается компанией Zuken Elmic в Азии.
Высокая надежность, производительность и конфигурируемость библиотеки сделали ее столь популярной и широко распространенной.
«Библиотеку [Treck TCP / IP] можно использовать как есть, настраивать для широкого спектра применений или включать в большую библиотеку. Пользователь может купить библиотеку в формате исходного кода и отредактировать ее. Оно может быть включено в код и внедрено в широкий спектр типов устройств », - считают исследователи. объяснены.
«Первоначальный покупатель мог принять решение о ребрендинге или мог быть приобретен другой корпорацией, а первоначальная история библиотеки была потеряна в архивах компании. Со временем оригинальный компонент библиотеки может стать практически неузнаваемым. Вот почему, даже после того, как исходная уязвимость была идентифицирована и исправлена, уязвимости все еще могут оставаться на местах, поскольку отслеживание цепочки поставок может быть практически невозможно ».
Уязвимости были обнаружены Моше Колом и Шломи Оберманом из JSOF в библиотеке Treck TCP / IP, и Зукен Элмик подтвердил, что некоторые из них влияют на библиотеку Kasago.
Об уязвимостях
Совместно названные Ripple20, уязвимости (пронумерованные CVE-2020-11896 - CVE-2020-11914) варьируются от критических до низкого риска. Четыре позволяют удаленное выполнение кода. Другие могут быть использованы для раскрытия конфиденциальной информации, (постоянного) отказа в обслуживании и многого другого.
«Одна из критических уязвимостей заключается в протоколе DNS и потенциально может быть использована искушенным злоумышленником через Интернет, вне границ сети, даже на устройствах, которые не подключены к Интернету», - отметили исследователи.
«Большинство уязвимостей являются настоящими нулевыми днями, причем 4 из них были закрыты в течение многих лет в рамках рутинных изменений кода, но оставались открытыми на некоторых уязвимых устройствах (3 степени серьезности, 1 выше). Многие из уязвимостей имеют несколько вариантов из-за возможности конфигурирования стека и изменения кода на протяжении многих лет ».
Исследователи планируют выпустить технические отчеты по некоторым из них и считаться продемонстрировать использование уязвимости DNS на ИБП Schneider Electric APC в Black Hat США в августе.
Скоординированное раскрытие
В прошлом библиотека Treck TCP / IP не привлекала большого внимания со стороны исследователей безопасности. После того, как исследователи JSOF решили исследовать это и обнаружили недостатки, они также обнаружили, что установление контакта со многими, многими поставщиками, которые реализуют это, будет трудоемкой задачей.
Treck был проинформирован об уязвимостях и исправил их, но настаивал на том, чтобы связываться с клиентами и пользователями библиотеки кода и предоставлять соответствующие исправления напрямую.
Но, поскольку некоторые из уязвимостей затрагивают также библиотеку Kasago, JSOF привлекла к процессу раскрытия информации несколько национальных организаций и регуляторных органов по реагированию на компьютерные инциденты (CERT).
«Группы CERT фокусируются на способах выявления и снижения рисков безопасности. Например, они могут охватить гораздо большую целевую группу потенциальных пользователей с помощью взрывных объявлений, «массовых рассылок», которые они рассылают длинному списку участвующих компаний, чтобы уведомить их о потенциальной уязвимости. Как только пользователи идентифицированы, смягчение вступает в игру », объяснили исследователи.
«Хотя наилучшим ответом может быть установка оригинального патча Treck, во многих ситуациях установка оригинального патча невозможна. CERTs разрабатывают альтернативные подходы, которые можно использовать для минимизации или эффективного устранения риска, даже если исправление не является вариантом ».
Таким образом, уязвимости Ripple20 были дублированы из-за степени их воздействия.
«Широкое распространение библиотеки программного обеспечения (и ее внутренних уязвимостей) было естественным следствием« волнового эффекта »в цепочке поставок. Один уязвимый компонент, хотя он может быть относительно небольшим сам по себе, может волновать наружу, чтобы повлиять на широкий спектр отраслей, приложений, компаний и людей », - отметили они.
«Включение числа« 20 »обозначает наш процесс раскрытия информации, начинающийся в 2020 году, и в то же время символизирует нашу веру в потенциальную возможность появления дополнительных уязвимостей, которые можно обнаружить в первоначальных 19, и отдает дань уважения», - сказали они в Help Net Security.
Исследователи отмечают, что процессу раскрытия уязвимостей, их собственным усилиям по идентификации пользователей библиотеки Treck и процессу распространения исправлений / смягчения последствий оказали огромную помощь Treck, различные CERT, CISA и несколько поставщиков систем безопасности (ForeScout, КиберМДКС).
Снижение риска
Ряд поставщиков подтвердили, что их предложения подвержены недостаткам Ripple20. JSOF имеет составлен список затронутых и незатронутых поставщиков, которые будут постоянно обновляться по мере поступления дополнительной информации.
Поставщики устройств должны обновить библиотеку Treck до фиксированной версии (6.0.1.67 или выше), в то время как организации должны проверить свою сеть на наличие уязвимых устройств и связаться с поставщиками для получения дополнительной информации о том, как снизить риск эксплуатации. Исследователи предоставят по запросу скрипт, который поможет компаниям идентифицировать продукты Treck в своих сетях.
«Исправление этих уязвимостей представляет свой собственный набор проблем, даже если они были обнаружены в сети. У некоторых уже есть патчи. Но есть и осложняющие факторы », - говорит президент и президент Forescout Майкл ДеЧезаре. отметил,.
«С такими типами уязвимостей в цепочке поставок и встроенными компонентами поставщик, который создает исправление, не обязательно будет его выпускать. Это может задержать выпуск патча. Также нет никаких гарантий, что производитель устройства все еще находится в бизнесе или что он все еще поддерживает устройство. Сложный характер цепочки поставок может также означать, что устройство вообще не может быть исправлено, даже если оно должно оставаться в сети. В таких случаях потребуется смягчающий контроль, такой как сегментация, чтобы ограничить его риск ».
Различные CERTs и агентства, такие как CISA, несомненно, предложат рекомендации по смягчению последствий с помощью рекомендаций по безопасности.
Источник: https://www.helpnetsecurity.com/2020/06/16/flaws-tcp-ip-library/
