19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck

В проприетарном TCP/IP стеке Treck выявлено 19 уязвимостей, эксплуатируемых через отправку специально оформленных пакетов. Уязвимостям присвоено кодовое имя Ripple20. Некоторые уязвимости также проявляются в TCP/IP-стеке KASAGO от компании Zuken Elmic (Elmic Systems), имеющем общие корни c Treck. Стек Treck применяется во многих промышленных, медицинских, коммуникационных, встраиваемых и потребительских устройствах (от умных ламп до принтеров и источников бесперебойного питания), а также в энергетическом, транспортном, авиационном, торговом и нефтедобывающем оборудовании.

Из заметных целей для атак, в которых используется TCP/IP-стек Treck, можно отметить сетевые принтеры HP и чипы Intel. В том числе проблемы в TCP/IP-стеке Treck оказались причиной недавних удалённых уязвимостей в подсистемах Intel AMT и ISM, эксплуатируемых через отправку сетевого пакета. Наличие уязвимостей подтвердили производители Intel, HP, Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation и Schneider Electric. Ещё
66 производителей, в продуктах которых используется TCP/IP-стек Treck, пока не отреагировали на проблемы. 5 производителей, среди которых AMD, заявили о неподверженности своих продуктов проблемам.

Проблемы найдены в реализации протоколов IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 и ARP, и вызваны некорректной обработкой параметров с размером данных (использование поля с размером без проверки фактического размера данных), ошибками проверки входной информации, двойном освобождении памяти, чтением из области вне буфера, целочисленными переполнениями, некорректным контролем доступа и проблемами при обработке строк с нулевым разделителем.

Две наиболее опасные проблемы (CVE-2020-11896, CVE-2020-11897) , которым присвоен уровень CVSS 10, позволяют выполнить свой код на устройстве через отправку определённым образом оформленных пакетов IPv4/UDP или IPv6. Первая критическая проблема проявляется на устройствах с поддержкой IPv4-туннелей, а вторая в выпущенных до 04.06.2009 версиях с поддержкой IPv6. Ещё одна критическая уязвимость (CVSS 9) присутствует в DNS-резолвере (CVE-2020-11901) и позволяет выполнить код через отправку специально оформленного DNS-запроса (проблема использована для демонстрации взлома Schneider Electric APC UPS и проявляется на устройствах с поддержкой DNS).

Другие уязвимости CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 позволяют через отправку специально оформленных пакетов IPv4/ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 или IPv6 узнать содержимое областей памяти системы. Остальные проблемы могут привести к отказу в обслуживании или утечке остаточных данных из системных буферов.

Большинство уязвимостей устранены в выпуске Treck 6.0.1.67 (проблема CVE-2020-11897 устранена в 5.0.1.35, CVE-2020-11900 в 6.0.1.41, CVE-2020-11903 в 6.0.1.28, CVE-2020-11908 в 4.7.1.27). Так как подготовка обновлений прошивок для конкретных устройств может затянуться или невозможна (стек Treck поставляется более 20 лет, многие устройства остались без сопровождения или их проблематично обновить), администраторам рекомендуется изолировать проблемные устройства и настроить на системах инспектирования пакетов, межсетевых экранах или маршрутизаторах нормализацию или блокирование фрагментированных пакетов, заблокировать IP-туннели (IPv6-in-IPv4 и IP-in-IP), заблокировать «source routing», активировать инспектирование некорректных опций в TCP-пакетах, блокировать неиспользуемые управляющие ICMP-сообщения (MTU Update и Address Mask), запретить IPv6 multicast и перенаправлять DNS-запросы к защищённому рекурсивному DNS-серверу.

Источник: opennet.ru