WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hàng tỷ thiết bị kết nối mạng có nguy cơ bị tấn công qua loạt lỗ hổng Ripple20
Gần hai chục lỗ hổng mới có tên Ripple20 vừa bị phát hiện, ảnh hưởng đến hàng tỷ thiết bị kết nối mạng do hơn 500 nhà cung cấp trên toàn cầu sản xuất.
Ripple20 gồm 19 lỗ hổng nằm trong thư viện phần mềm TCP/IP cấp thấp do Treck phát triển, có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn các thiết bị mục tiêu mà không cần tương tác người dùng.
Theo JSOF, công ty an ninh mạng của Israel đã phát hiện ra những lỗ hổng này, các thiết bị bị ảnh hưởng đang được sử dụng trong nhiều ngành công nghiệp khác nhau từ thiết bị gia dụng/tiêu dùng đến các trung tâm y tế, chăm sóc sức khỏe, dữ liệu, các doanh nghiệp, viễn thông, dầu khí, hạt nhân, giao thông vận tải.
Trong số này, có bốn lỗ hổng nghiêm trọng trong ngăn xếp Treck TCP/IP, với điểm CVSS trên 9, có thể cho phép kẻ tấn công thực thi mã tùy ý trên các thiết bị mục tiêu từ xa và một lỗi nghiêm trọng ảnh hưởng đến giao thức DNS.
Một số lỗ hổng Ripple20 đã được Treck hoặc các nhà sản xuất thiết bị vá trong suốt nhiều năm do có sự thay đổi mã và cấu hình Stack. Vì lý do tương tự, nhiều lỗ hổng khác cũng có một số biến thể chưa được vá cho đến khi các nhà cung cấp thực hiện đánh giá rủi ro toàn diện.
• CVE-2020-11896 (điểm CVSS v3 10,0): tồn tại do xử lý sai tham số chiều dài trong thành phần IPv4/UDP khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.
• CVE-2020-11897 (điểm CVSS v3 10,0): tồn tại do xử lý sai tham số chiều dài trong thành phần Ipv6 khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến ghi thông tin ngoài giới hạn cho phép.
• CVE-2020-11898 (điểm CVSS v3 9,8): tồn tại do xử lý sai tham số chiều dài trong thành phần IPv4/ICMPv4 khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến lộ lọt thông tin nhạy cảm.
• CVE-2020-11899 (điểm CVSS v3 9,8): tồn tại do xác thực sai đầu vào trong thành phần IPv6 khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến lộ lọt thông tin nhạy cảm.
• CVE-2020-11900 (điểm CVSS v3 9,3): lỗ hổng double-free (cho phép thực thi mã từ xa nếu người dùng tương tác với nội dung độc hại) trong thành phần tunnel IPv4 khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.
• CVE-2020-11901 (điểm CVSS v3 9,0): tồn tại do việc xử lý sai dữ liệu đầu vào trong thành phần trình phân giải DNS khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.
Các nhà nghiên cứu JSOF báo cáo cho Treck và hãng đã vá hầu hết các lỗ hổng bằng việc phát hành TCP/IP 6.0.1.67 hoặc cao hơn.
Các nhà nghiên cứu cũng đã liên hệ với hơn 500 nhà cung cấp sản xuất thiết bị và bán dẫn bị ảnh hưởng, bao gồm cả HP, Schneider Electric, Intel, Rockwell Automatic, Caterpillar, Baxter và Quadros trước khi công khai thông tin chi tiết về các lỗ hổng.
Hàng triệu thiết bị không thể nhận được các bản cập nhật vá an ninh để xử lý sớm các lỗ hổng Ripple20 nên các nhà nghiên cứu và ICS-CERT đã khuyến nghị người dùng và các tổ chức:
• Giảm thiểu việc mở mạng cho tất cả các thiết bị và/hoặc hệ thống điều khiển đồng thời đảm bảo rằng các thiết bị và hệ thống này không thể truy cập được từ Internet.
• Đặt mạng hệ thống điều khiển và các thiết bị từ xa phía sau tường lửa và cách ly khỏi mạng doanh nghiệp.
Bên cạnh đó, nên sử dụng các mạng riêng ảo để kết nối an toàn các thiết bị với các dịch vụ Đám mây qua Internet.
Trong tư vấn của mình, CISA cũng yêu cầu các tổ chức bị ảnh hưởng thực hiện phân tích tác động và đánh giá rủi ro thích hợp trước khi triển khai các biện pháp khắc phục.
Theo JSOF, công ty an ninh mạng của Israel đã phát hiện ra những lỗ hổng này, các thiết bị bị ảnh hưởng đang được sử dụng trong nhiều ngành công nghiệp khác nhau từ thiết bị gia dụng/tiêu dùng đến các trung tâm y tế, chăm sóc sức khỏe, dữ liệu, các doanh nghiệp, viễn thông, dầu khí, hạt nhân, giao thông vận tải.
• CVE-2020-11896 (điểm CVSS v3 10,0): tồn tại do xử lý sai tham số chiều dài trong thành phần IPv4/UDP khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.
• CVE-2020-11897 (điểm CVSS v3 10,0): tồn tại do xử lý sai tham số chiều dài trong thành phần Ipv6 khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến ghi thông tin ngoài giới hạn cho phép.
• CVE-2020-11898 (điểm CVSS v3 9,8): tồn tại do xử lý sai tham số chiều dài trong thành phần IPv4/ICMPv4 khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến lộ lọt thông tin nhạy cảm.
• CVE-2020-11899 (điểm CVSS v3 9,8): tồn tại do xác thực sai đầu vào trong thành phần IPv6 khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến lộ lọt thông tin nhạy cảm.
• CVE-2020-11900 (điểm CVSS v3 9,3): lỗ hổng double-free (cho phép thực thi mã từ xa nếu người dùng tương tác với nội dung độc hại) trong thành phần tunnel IPv4 khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.
• CVE-2020-11901 (điểm CVSS v3 9,0): tồn tại do việc xử lý sai dữ liệu đầu vào trong thành phần trình phân giải DNS khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.
Các nhà nghiên cứu JSOF báo cáo cho Treck và hãng đã vá hầu hết các lỗ hổng bằng việc phát hành TCP/IP 6.0.1.67 hoặc cao hơn.
Các nhà nghiên cứu cũng đã liên hệ với hơn 500 nhà cung cấp sản xuất thiết bị và bán dẫn bị ảnh hưởng, bao gồm cả HP, Schneider Electric, Intel, Rockwell Automatic, Caterpillar, Baxter và Quadros trước khi công khai thông tin chi tiết về các lỗ hổng.
Hàng triệu thiết bị không thể nhận được các bản cập nhật vá an ninh để xử lý sớm các lỗ hổng Ripple20 nên các nhà nghiên cứu và ICS-CERT đã khuyến nghị người dùng và các tổ chức:
• Giảm thiểu việc mở mạng cho tất cả các thiết bị và/hoặc hệ thống điều khiển đồng thời đảm bảo rằng các thiết bị và hệ thống này không thể truy cập được từ Internet.
• Đặt mạng hệ thống điều khiển và các thiết bị từ xa phía sau tường lửa và cách ly khỏi mạng doanh nghiệp.
Bên cạnh đó, nên sử dụng các mạng riêng ảo để kết nối an toàn các thiết bị với các dịch vụ Đám mây qua Internet.
Trong tư vấn của mình, CISA cũng yêu cầu các tổ chức bị ảnh hưởng thực hiện phân tích tác động và đánh giá rủi ro thích hợp trước khi triển khai các biện pháp khắc phục.
Nguồn: The Hacker News