In uno stack TCP/IP proprietario
Tra gli obiettivi di attacco più importanti che utilizzano lo stack TCP/IP di Treck figurano le stampanti di rete HP e i chip Intel. La causa dei recenti problemi si è rivelata, tra le altre cose, nello stack TCP/IP di Treck
Sono stati riscontrati problemi nell'implementazione dei protocolli IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 e ARP e sono stati causati da un'errata elaborazione dei parametri di dimensione dei dati (utilizzando un campo size senza verificare la dimensione effettiva dei dati), errori nella controllo delle informazioni di input, doppia liberazione di memoria, letture di buffer esaurito, overflow di numeri interi, controllo di accesso errato e problemi nella gestione di stringhe delimitate da null.
I due problemi più pericolosi (CVE-2020-11896, CVE-2020-11897), a cui è assegnato il livello CVSS 10, consentono l'esecuzione del codice su un dispositivo inviando pacchetti IPv4/UDP o IPv6 appositamente formattati. Il primo problema critico si presenta sui dispositivi con supporto per tunnel IPv4, il secondo nelle versioni rilasciate prima del 04.06.2009/6/9 con supporto IPv2020. Un'altra vulnerabilità critica (CVSS 11901) è presente nel risolutore DNS (CVE-XNUMX-XNUMX) e consente l'esecuzione di codice inviando una richiesta DNS appositamente predisposta (il problema è stato utilizzato per dimostrare l'hacking di Schneider Electric APC UPS e appare su dispositivi con supporto DNS).
Altre vulnerabilità CVE-2020-11898, CVE-2020-11899, CVE-2020-11902, CVE-2020-11903, CVE-2020-11905 consentono la rivelazione dei contenuti di IPv4/ICMPv4, IPv6OverIPv4, DHCP, DHCPv6 o IPv6 invio di pacchetti appositamente progettati nelle aree di memoria del sistema. Altri problemi potrebbero comportare la negazione del servizio o la perdita di dati residui dai buffer di sistema.
La maggior parte delle vulnerabilità sono state corrette in Treck 6.0.1.67 (CVE-2020-11897 è stata corretta in 5.0.1.35, CVE-2020-11900 in 6.0.1.41, CVE-2020-11903 in 6.0.1.28, CVE-2020-11908 in 4.7.1.27). Poiché la preparazione degli aggiornamenti firmware per dispositivi specifici può essere ritardata o impossibile (lo stack Treck è disponibile da più di 20 anni, molti dispositivi rimangono senza manutenzione o sono difficili da aggiornare), si consiglia agli amministratori di isolare i dispositivi problematici e configurare sistemi di ispezione dei pacchetti, firewall o router per normalizzare o bloccare pacchetti frammentati, bloccare tunnel IP (IPv6-in-IPv4 e IP-in-IP), bloccare il "source routing", abilitare l'ispezione di opzioni errate nei pacchetti TCP, bloccare messaggi di controllo ICMP non utilizzati (MTU Update e Address Mask), disabilita il multicast IPv6 e reindirizza le query DNS a un server DNS ricorsivo sicuro.
Fonte: opennet.ru