19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck

16 июня 2020 года

В проприетарном TCP/IP стеке Treck выявлено 19 уязвимостей, эксплуатируемых через отправку специально оформленных пакетов. Уязвимостям присвоено кодовое имя Ripple20. Некоторые уязвимости также проявляются в TCP/IP-стеке KASAGO от компании Zuken Elmic (Elmic Systems), имеющем общие корни c Treck. Стек Treck применяется во многих промышленных, медицинских, коммуникационных, встраиваемых и потребительских устройствах (от умных ламп до принтеров и источников бесперебойного питания), а также в энергетическом, транспортном, авиационном, торговом и нефтедобывающем оборудовании.

Из заметных целей для атак, в которых используется TCP/IP-стек Treck, можно отметить сетевые принтеры HP и чипы Intel. В том числе проблемы в TCP/IP-стеке Treck оказались причиной недавних удалённых уязвимостей в подсистемах Intel AMT и ISM, эксплуатируемых через отправку сетевого пакета. Наличие уязвимостей подтвердили производители Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation и Schneider Electric. Ещё 66 производителей, в продуктах которых используется TCP/IP-стек Treck, пока не отреагировали на проблемы.

Проблемы найдены в реализации протоколов IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 и ARP, и вызваны некорректной обработкой параметров с размером данных (использование поля с размером без проверки фактического размера данных), ошибками проверки входной информации, двойном освобождении памяти, чтением из области вне буфера, целочисленными переполнениями, некорректным контролем доступа и проблемами при обработке строк с нулевым разделителем.

Две наиболее опасные проблемы (CVE-2020-11896, CVE-2020-11897) , которым присвоен уровень CVSS 10, позволяют выполнить свой код на устройстве через отправку определённым образом оформленных пакетов IPv4/UDP или IPv6. Другие уязвимости (CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905) позволяют через отправку специально оформленных пакетов IPv4/ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 или IPv6 узнать содержимое областей памяти системы. Уязвимость в DNS-резолвере (CVE-2020-11901) позволяет выполнить код через отправку специально оформленного DNS-запроса. Остальные проблемы могут привести к отказу в обслуживании или утечке остаточных данных из системных буферов.

Уязвимости устранены в выпуске Treck 6.0.1.67. Так как подготовка обновлений прошивок для конкретных устройств может затянуться или невозможна (стек Treck поставляется более 20 лет, многие устройства остались без сопровождения или их проблематично обновить), администраторам рекомендуется изолировать проблемные устройства и настроить на системах инспектирования пакетов, межсетевых экранах или маршрутизаторах нормализацию или блокирование фрагментированных пакетов, заблокировать IP-туннели (IPv6-in-IPv4 и IP-in-IP), заблокировать "source routing", активировать инспектирование некорректных опций в TCP-пакетах, блокировать неиспользуемые управляющие ICMP-сообщения (MTU Update и Address Mask), запретить IPv6 multicast и перенаправлять DNS-запросы к защищённому рекурсивному DNS-серверу.