By 立思辰官方 | 2020-07-06

Ripple2.0漏洞知多少


 一   Ripple20漏洞是什么

近日,位于以色列的网络安全公司JSOF的研究人员发现了19个0day安全漏洞,影响了Treck开发的底层TCP/IP协议栈,全球数亿台物联网设备可能会受到远程攻击,这些漏洞统称为“Ripple20”。


Ripple20漏洞影响范围

据Treck公司和各大安全公司披露,Ripple20漏洞直接影响到惠普、施耐德电气、Intel、罗克韦尔自动化、卡特彼勒、巴克斯特以及许多其他在医疗、运输、工业控制方面的主要国际供应商,涉及家用/企业级商用设备在内的医疗健康、数据中心、电信、企业、石油、天然气、原子能、交通运输等各行业关键基础设施领域。

目前已经确认多个供应商的产品受到攻击,包括输液泵、打印机、UPS系统、网络设备、销售点设备、IP摄像机、视频会议系统、楼宇自动化设备和ICS设备等。



研究人员认为这些漏洞可能会影响更多供应商的数亿台设备。


 三  Ripple20漏洞为何被为高风险漏洞

Ripple20漏洞可以被攻击者用于远程代码执行、拒绝服务(DoS)攻击和获取用户的潜在敏感信息。

由于Ripple20漏洞位于底层TCP/IP堆栈中,对于其中的某些漏洞而言,漏洞使攻击者发送的数据包与有效数据包非常相似,或者在某些情况下是完全有效的数据包,这样可以使攻击作为合法流量绕过NAT和防火墙并控制内网未检测到的设备,而无需用户交互。


简单来说,就是攻击者可以利用漏洞做很多坏事。

· 利用漏洞从打印机上窃取数据;

· 导致工业控制设备发生故障;

· 利用漏洞可以从外部网络进入内部;

· 恶意代码会在嵌入式设备中隐藏多年;

……


 四  我们要如何应对

Treck已经开发了针对Ripple20漏洞的补丁程序,由于漏洞影响广泛,完成相关的部署存在很大困难;同时,由于代码变化和栈配置的原因,漏洞已经产生了变种,即使进行升级,安全风险仍然很大。

目前Treck公司通过发布6.0.1.67或更高版本的TCP/IP堆栈来修复大多数漏洞。为此,JSOF公司安全团队提出了一些减小风险的应对建议,具体的措施如下:


1、针对设备供应商

· 确定是否使用了易受攻击的Treck TCP/IP堆栈库版本,并联系Treck公司,了解其中的风险;

· 及时更新到最新的Treck TCP/IP堆栈库版本(6.0.1.67或更高版本);

· 如果无法更新,请考虑禁用容易受到攻击的设备功能;


2、针对运营商和网络用户

· 将所有设备更新为补丁程序版本;

· 如果无法更新设备,则可以最小化嵌入式和关键设备的网络暴露,将暴露程度保持在最低水平,并确保最低限度的网络连接;

· 将物联网络和设备隔离在防火墙后,并将其与业务网络隔离;

· 仅启用安全的远程访问方法;

· 通过深度数据包检查来阻止网络攻击,以降低嵌入式程序启用Treck TCP/IP堆栈库的风险。


 五  立思辰工控安全监测审计系统

立思辰工控安全监测审计系统采用“监测审计终端+安全监管平台”方式统一管理,采用旁路监听部署,对工业生产过程“零风险”影响。

通过对工控网络流量进行采集、分析和监测,并结合特定的安全策略,可以有效地控制攻击者利用Ripple20漏洞进行肆意入侵,快速精准识别,实时告警记录所有网络通信行为,为工业控制系统的安全事故调查提供坚实的基础。



1、全面的异常检测功能,支持多种工业协议的深度解析;强大工控漏洞库,自动告警并提醒。

2、智能分析与自主学习,可自动创建白名单安全极限,并绘制可视化展示图。

3、自定义协议解析,满足千兆以太网高流量数据的实时深度解析。

4、高数据处理能力和效率,审计数据加密传输,保证数据安全。


目前该系统已经广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业。未来,立思辰安全将继续以“保卫网络安全,护航国计民生”为愿景,保障国家关键基础设施安全运转!


立思辰信息安全科技集团已对各业务的产品线进行自检,确认不会受到Ripple20漏洞的影响。