۱۹ آسیب‌پذیری روز صفر با نام Ripple20

۱۳۹۹/۴/۳ - ۱۳:۲۱

خلاصه

آزمایشگاه تحقیقاتی JSOF مجموعه‌ای از آسیب‌پذیری‌های روز صفر را در یک کتابخانه نرم‌افزاری سطح پایین TCP/IP توسعه داده شده توسط Treck Inc، که بسیار نیز مورد استفاده قرار می‌گیرد کشف کرده است. ۱۹ آسیب‌پذیری با نام ۲۰Ripple، صدها میلیون دستگاه (یا بیشتر) را تحت تاثیر قرار داده است و شامل چندین آسیب‌پذیری اجرای کد از راه دور می‌باشد. از جمله خطرات این آسیب‌پذیری‌ها می توان به سرقت داده‌ها از یک پرینتر، اختلال در عملکرد دستگاه‌های کنترل صنعتی، حمله انکار سرویس(DoS) و افشای اطلاعات اشاره کرد. یک مهاجم می‌تواند سال‌ها کد مخرب را در دستگاه‌های جداسازی‌شده پنهان کند. یکی از این آسیب‌پذیری‌ها می‌تواند ورود به مرزهای شبکه را از خارج فعال کند.
نرم افزار شبکه‌ای Treck IP Stack برای انواع مختلف سیستم‌ها طراحی و ساخته شده است، این نرم‌افزار شامل چندین آسیب‌پذیری است که اکثر آن‌ها به دلیل نقص‌های موجود در مدیریت حافظه می‌باشند. گستردگی کاربرد این نرم افزار در بخش های مختلف که برخی از آنها در شکل ۱ اشاره شده است، نگرانی‌ها را در بین فعالان امنیت سایبری بالا برده است.

شکل ۱) حوزه‌های کاربردی که کتابخانه آسیب‌پذیر Treck stack در آن‌ها به کار می‌رود

توضیحات فنی
Ripple20 مجموعه‌ای از ۱۹ آسیب‌پذیری است که در Treck TCP/IP stack  کشف شده اند که چهار مورد از آن‌ها دارای امتیاز CVSS بیش از ۹ هستند و از طریق اجرای کد دلخواه از راه دور فعال می‌شوند. یکی از آسیب‌پذیری‌های مهم، نقص در پروتکل DNS می‌باشد که ممکن است از طریق اینترنت و توسط یک مهاجم ساختگی، خارج از مرزهای شبکه، حتی در دستگاه‌هایی که به اینترنت متصل نیستند، اکسپلویت شود.
دومین Whitepaper که به دنبال BlackHat USA2020 منتشر می‌شود، جزئیات اکسپلویت آسیب‌پذیریِ CVE-2020-11901، یعنی نقص DNS بر روی یک دستگاه Schneider Electric APC UPS را ارائه می‌دهد. ۱۵ آسیب‌پذیری دیگر دارای CVSSهای ۳.۱ تا ۸.۲ می‌باشند که از طرق مختلف از جمله حمله انکار سرویس و  اجرای کد دلخواه از راه دور، فعالیت خود را انجام می‌دهند.
بسیاری از این آسیب‌پذیری‌ها به دلیل داشتن قابلیت تغییر کد و پیکربندیStack، در اثر گذر زمان دارای چندین نوع مختلف می‌باشند؛ همچنین آسیب‌پذیری‌های Ripple20، به دلیل داشتن اثر زنجیره‌ای و آن که به مهاجمان اجازه می‌دهند NAT و فایروال‌‌ها را دور زده و بدون نیاز به دخالت هیچ کاربری کنترل دستگاه‌ها را به دست گیرند، در نوع خود منحصر به فرد می‌باشند.

شرح آسیب‌پذیری‌ها
در جدول ۱، اطلاعات مربوط به آسیب‌پذیری‌هایی که توسط JSOF به CERT ‎/ CC گزارش داده شد را مشاهده می‌کنید.

جدول ۱: اطلاعات مربوط به هر یک از آسیب‌پذیری‌ها

CVE

CVSSv3

توضیحات

نسخه وصله شده

CVE-2020-11896

۱۰

این آسیب‌پذیری کار خود را با ارسال بسته‌های ناقص ۴IPv به دستگاهی که از تونل ۴IPv پشتیبانی می‌کند، شروع کرده و  بر روی هر دستگاهی که Treck را با پیکربندی خاصی اجرا می‌کند تأثیر می‌گذارد و همچنین امکان اجرای کد دلخواه از راه دور را برای مهاجم فراهم می‌آورد.

۳۰ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11897

۱۰

این آسیب‌پذیری با ارسال چندین بسته ناقص ۶IPv به یک دستگاه، شروع به کار می‌کند و با اجرای کد دلخواه از راه دور، بر روی تمامی نسخه‌های قدیمی Treck که  ۶IPv را پشتیبانی می‌کنند، تأثیر می‌گذارد.

۴ژوئن ۲۰۰۹ نسخه  ۵.۰.۱.۳۵

CVE-2020-11901

۹

این آسیب‌پذیری کار خود را پاسخ به درخواست DNS شروع می‌کند و بر هر دستگاهی که Treck را با پشتیبانی از DNS اجرا می‌کند تأثیر می‌گذارد. از این آسیب‌پذیری می‌توان جهت اجرای کد دلخواه از راه دور بر روی Schneider Electric APC UPS سوءاستفاده کرد و علیرغم آنکه دارای ۹.۰CVSS است، اما از نظر ما در بین آسیب‌پذیری‌های مطرح شده، شدیدترین نوع آن‌ها به حساب می‌آید، به دلیل آنکه ممکن است درخواست‌های DNS از شبکه‌ای که دستگاه در آن قرار دارد، خارج شود و مهاجم بتواند از طریق حافظه نهان DNS و یا سایر روش‌ها جهت احاطه دستگاهی خارج از شبکه، از این آسیب‌پذیری سوءاستفاده کرده، به شبکه نفوذ کند و کنترل دستگاه را با دور زدن اقدامات امنیتی، در اختیار گیرد.

۳ مارس ۲۰۲۰ نسخه ۶.۰.۱.۶۶

CVE-2020-11898

۹.۱

دستکاری نادرست پارامتر طول(CWE-130) در مؤلفه IPv4/ICMPv4 هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه  و امکان افشای اطلاعات حساس(CWE-۲۰۰).

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11900

۸.۲

امکان Double Free (۴۱۵CWE-) در مؤلفه IPv۴ هنگام ارسال بسته توسط مهاجم شبکه.

۱۵ اکتبر ۲۰۱۴

نسخه ۶.۰.۱.۴۱

CVE-2020-11902

۷.۳

اعتبارسنجی نامناسب ورودی (۲۰CWE-) در مؤلفه IPv6OverIp4 هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان خواندن خارج از محدوده (CWE-125).

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11904

۵.۶

امکان Overflow یا Wraparound در مؤلفه تخصیص حافظه (CWE-۱۹۰) هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان نوشتن خارج از محدوده (CWE-787).

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11899

۵.۴

اعتبارسنجی نامناسب ورودی (۲۰CWE-) در مؤلفه IPv6 هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه، امکان خواندن خارج از محدوده (CWE-125) و  امکان حمله انکار سرویس.

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11803

۵.۳

امکان خواندن خارج از محدوده (CWE-125) در مؤلفه DHCP هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان افشای اطلاعات حساس(CWE-۲۰۰).

۱۰ اکتبر ۲۰۱۰

نسخه ۶.۰.۱.۲۸

CVE-2020-11905

۵.۳

امکان خواندن خارج از محدوده (CWE-125) در مؤلفه DHCPv6 هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان افشای اطلاعات حساس(CWE-۲۰۰).

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11906

۵

اعتبارسنجی نامناسب ورودی (۲۰CWE-) در مؤلفه Ethernet Link Layer از بسته‌ای که توسط یک کاربر غیر مجاز ارسال شده است و همچنین امکان Underflow (CWE-191)

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11907

۵

دستکاری نادرست پارامتر طول(CWE-130) در مؤلفه TCP از بسته‌ای که توسط یک کاربر غیر مجاز ارسال شده است و همچنین امکان Underflow (CWE-191)

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11909

۳.۷

اعتبارسنجی نامناسب ورودی (۲۰CWE-) در مؤلفه IPv4  هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان Underflow (CWE-191)

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11910

۳.۷

اعتبارسنجی نامناسب ورودی (۲۰CWE-) در مؤلفه ICMPv4  هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان خواندن خارج از محدوده (CWE-125)

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11911

۳.۷

امکان کنترل دسترسی در مؤلفه ICMPv4  هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و اختصاص مجوز درسترسی نادرست به منابع بحرانی(CWE-۷۲۳).

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11912

۳.۷

اعتبارسنجی نامناسب ورودی (۲۰CWE-) در مؤلفه TCP  هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان خواندن خارج از محدوده (CWE-125).

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11913

۳.۷

اعتبارسنجی نامناسب ورودی (۲۰CWE-) در مؤلفه IPv6  هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان خواندن خارج از محدوده (CWE-125).

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11914

۳.۱

اعتبارسنجی نامناسب ورودی (۲۰CWE-) در مؤلفه ARP هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان خواندن خارج از محدوده (CWE-125).

۳ مارس ۲۰۲۰

نسخه ۶.۰.۱.۶۶

CVE-2020-11908

۳.۱

امکان Null Termination (۱۷۰CWE-) در مؤلفه DHCP هنگام ارسال بسته‌ توسط مهاجم غیرمجاز شبکه و امکان افشای اطلاعات حساس (CWE-۲۰۰).

۱۱ آگوست ۲۰۰۷

نسخه ۴.۷.۱.۲۷

محصولات آسیب‌پذیر و تحت تأثیر
همانطور که در بخش های قبلی اشاره شد، این آسیب‌پذیری طیف گسترده‌ای از محصولات را شامل می‌شود. فهرستی از محصولات تحت تاثیر قرار گرفته به صورت دقیق و با تماس‌هایی که CISA ICS-CERT با تولیدکنندگان محصولات داشته است، تهیه شده است. بدیهی است این محصولات آسیب‌پذیر محدود به این لیست نمی باشد و ممکن است در آینده مورد بررسی مجدد قرار گیرد. جدول شماره ۲ نام شرکت‌هایی را نشان می‌دهد که وجود آسیب‌پذیری در محصولات خود را تایید کرده‌اند. در این فهرست نام شرکت‌های بزرگی چون Cisco، Intel، Caterpilar و HP به چشم می‌خورد.

جدول  ۲: فهرست شرکت‌هایی که وجود آسیب‌پذیری در محصولات خود را پذیرفته‌اند

تجهیزات شبکه سیسکو که در کشور ما ایران نیز مورد استفاده قرار می‌گیرند تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند. با توجه به اهمیت موضوع در بخش بعدی وضعیت محصولات Cisco مورد بررسی قرار گرفته است. از دیگر محصولات مهم که به صورت گسترده در کشور ایران مورد استفاده قرار می‌گیرد، چاپگرهای HP و Samsung می‌باشند که طبق اعلام شرکت سازنده تحت تاثیر این آسیب‌پذیری بوده و توصیه اکید می‌گردد مدیران شبکه نسبت به نصب بروزرسانی‌ها اقدام نمایند. فهرست محصولات و نحوه بروزرسانی در پیوند زیر قابل دسترسی می‌باشد.


https://support.hp.com/us-en/document/c06640149

وضعیت محصولات Cisco
شرکت سیسکو در حال بررسی خط تولید خود می‌باشد تا مشخص کند که کدام یک از محصولاتش ممکن است تحت تأثیر این آسیبپذیری‌ها قرار گیرند که پس از بررسی‌های صورت گرفته، به هر یک از محصولات تحت تأثیر، یک شناسه‌ نقص  سیسکو اختصاص داده شد. این نقص‌ها از طریق Cisco Bug Search Tool قابل دسترسی بوده و حاوی اطلاعات تکمیلی از جمله راه‌حل‌ها  (در صورت وجود) و نسخه‌های وصله شده‌ نرم‌افزار می‌باشد. شایان ذکر است هر محصول یا سرویسی که در لیست محصولاتِ تحت تأثیر یا آسیب‌پذیر ذکر نشده باشد، آسیب‌پذیر تلقی نخواهد شد، اما از آنجا که بررسی‌ها کماکان در حال انجام می‌باشد، لذا ممکن است محصولاتی که در حال حاضر آسیب‌پذیر در نظر گرفته نشده‌اند، متعاقبأ در لیست محصولات آسیب‌پذیر قرار گیرند.
محصولات زیر نیز، در حال بررسی می‌باشند تا مشخص شود که آیا آن‌ها نیز تحت تأثیر این آسیب‌پذیری قرار دارند یا خیر.


•    Cisco ASR 5000 Series Routers
•    Cisco Home Node-B Gateway
•    Cisco IP Services Gateway ‪(IPSG)‬
•    Cisco PDSN/HA Packet Data Serving Node and Home Agent

در جدول ۳ لیستی از محصولات آسیب‌پذیر شرکت سیسکو را ملاحظه می‌کنید. گفتنی است که اگر هیچ تاریخ و یا نسخه‌ای برای مولفه تحت تحت تأثیر ذکر نشده باشد، به این معناست که شرکت سیسکو در حال ادامه بررسی می‌باشد و در صورت دسترسی به اطلاعات تکمیلی، این اطلاعات نیز بروزرسانی خواهند شد و پس از نهایی شدن آن‌ها، مشتریان باید به بخش نقص(‌های) مرتبط سیسکو مراجعه نمایند.

جدول  ۳: محصولات آسیب‌پذیر شرکت سیسکو

شناسه نقص

محصول

CSCvu60310

Cisco GGSN Gateway GPRS Support Node

CSCvu60314

Cisco MME Mobility Management Entity

CSCvu60313

Cisco PGW Packet Data Network Gateway

CSCvu60314

Cisco System Architecture Evolution Gateway ‪(SAEGW)‬

گفتنی است فقط محصولاتی که در بخش محصولات آسیب‌پذیرِ شرکت سیسکو ، یعنی Vulnerable Products  لیست شده‌اند، تحت تأثیر این آسیب‌پذیری‌ها قرار می‌گیرند. جهت کسب اطلاعات بیشتر در خصوص محصولات وصله شده نیز باید به همین بخش مراجعه کنید.
همواره به مشتریان توصیه می‌شود که پیش از ارتقاء نسخه یک نرم‌افزار، به صفحه مشاوره‌های امنیتی سیسکو _Cisco Security Advisories_ مراجعه کرده و از نظرات آن‌ها استفاده کنند. در کلیه موارد نیز مشتریان باید اطمینان حاصل کنند که دستگاه‌ها، دارای حافظه کافی بوده و پیکربندی‌های نرم‌افزار با نسخه جدید پشتیبانی شود و اگر در این زمینه اطلاعات کافی ندارند پیشنهاد می‌شود با مرکز خدمات فنی سیسکو (TAC) و یا پشتیبان‌های مربوطه تماس حاصل نمایند.


ارزیابی ریسک و اقدامات پیشگیرانه
Ripple20 خطرات قابل توجهی را ایجاد می‌کند. از جمله آنها می‌توان به موارد زیر اشاره کرد:

  • اگر مهاجمی خارج از شبکه باشد، در صورت دسترسی به اینترنت می‌تواند دستگاهی را در داخل شبکه کنترل ‌کند.
  • مهاجمی که قبلاً موفق به نفوذ به یک شبکه شده است می‌تواند از آسیب‌پذیری‌های این کتابخانه برای هدف قرار دادن دستگاه‌های خاص درون آن استفاده کند.
  • یک مهاجم می‌تواند حمله‌ای را انتشار دهد که بتواند تمام دستگاه‌های آسیب‌دیده در شبکه را به طور همزمان در اختیار بگیرد.
  • مهاجم ممکن است از دستگاه آسیب‌دیده به عنوان راهی برای پنهان ماندن در شبکه برای چندین سال استفاده کند.
  • یک مهاجم در حالت پیشرفته‌تر به طور بالقوه می‌تواند خارج از مرزهای شبکه، حمله‌ای را بر روی دستگاهی در داخل شبکه انجام دهد و بنابراین پیکربندی‌های NAT را دور زند. این کار با انجام یک حمله MITM یا یک dns cache poisoning انجام می‌شود.
  • در برخی از سناریوها، مهاجم ممکن است با پاسخ دادن به بسته‌هایی که مرزهای شبکه را رها می‌کنند، حملات خود را در خارج از شبکه و با دور زدن NAT انجام دهد.

در تمام سناریوهای ذکر شده، مهاجم می‌تواند بدون نیاز به تعامل کاربر، کنترل کاملی را از راه دور بر روی دستگاه مورد نظر بدست آورد.
JSOF توصیه می‌کند که اقدامات لازم را برای به حداقل رساندن یا کاهش خطر بهره‌برداری از دستگاه انجام دهید. گزینه‌های انتخابی جهت کاهش خطرات، به بستر موجود بستگی دارد. به طور کلی انجام مراحل زیر توصیه می‌شود:

  • تمام سازمان‌ها قبل از اعمال اقدامات لازم، باید یک ارزیابی جامع از مخاطرات احتمالی را انجام دهند. ابتدا اقدامات دفاعی را در حالت غیرفعال “alert” گسترش دهید.
  • اقدامات مربوط به فروشندگان دستگاه:
    • مشخص کنید که آیا از یک Treck stack آسیب‌پذیر استفاده می‌کنید یا خیر
    • ارتباط با Treck برای اطلاع از خطرات موجود
    • برزورسانی به آخرین نسخه Treck stack (6.0.1.67 و بالاتر)
    • در صورت عدم امکان بروزرسانی، در صورت امکان غیرفعال کردن featureهای آسیب‌پذیر را در نظر بگیرید
  • اقدامات مربوط به اپراتورها و شبکه‌ها:
    • اولین و بهترین اقدام، بروزرسانی به نسخه‌های وصله شده است. در صورت بروزرسانی دستگاه‌ها، مراحل زیر توصیه می‌شود:
      • قرار گرفتن در معرض شبکه برای دستگاه‌های بحرانی و حساس را به حداقل رسانده مگر در موارد ضروری و اطمینان حاصل کنید که دستگاه‌ها از طریق اینترنت در دسترس نیستند مگر اینکه قطعا ضروری باشد.
      • شبکه‌ها و دستگاه‌های OT را در پشت فایروال‌ها جدا کرده و آنها را از شبکه تجاری جدا کنید.
      • تنها روش‌های امن دسترسی از راه دور را فعال کنید.    
    • ترافیک غیرعادی IP را مسدود کنید.
    •  حملات شبکه را از طریق بررسی deep packet ها مسدود کنید تا خطرات مربوط به دستگاه‌های Treck فعال شده با TCP/IP خود را کاهش دهید.

فیلتر کردن ترافیک Pre-emptive، روش موثری است که می‌تواند متناسب با محیط شبکه شما اعمال شود. گزینه‌های فیلتر شامل موارد زیر می‌شوند:

  • IP fragmentsها را مسدود یا نرمال‌سازی کنید.
  • در صورت لزوم، IP tunneling ‪(IPv6-in-IPv4 یا IP-in-IP tunneling)‬ را مسدود یا غیرفعال کنید.
  • مسیریابی منبع IP و هر ویژگی کم ارزش IPv6 مانند مسیریابی هدرهای VU#267289 را مسدود کنید.
  • پیام‌های استفاده نشده کنترل ICMP مانند بروزرسانی MTU و بروزرسانی Address Mask را مسدود کنید.
  • DNS را از طریق یک سرور بازگشتی ایمن یا فایروال بازرسی DNS، نرمال‌سازی کنید. (بررسی کنید که سرور DNS بازگشتی شما درخواست‌ها را نرمال‌سازی می‌کند)
  • امنیت DHCP/DHCPv6 را با ویژگی‌هایی مانند DHCP snooping بالا ببرید.
  • در صورتیکه از قابلیت‌های multicast یا چندبخشی IPv6 در زیرساخت switching استفاده نمی‌شود، آن را غیرفعال یا مسدود کنید.
  • در جایی که IPهای استاتیک قابل استفاده هستند، DHCP را غیرفعال کنید.
  • IDS and IPS signaturesهای شبکه را بکار بگیرید.
  • در صورت وجود، segmentation شبکه را انجام دهید.

جمع‌بندی
با توجه به اینکه در کشور ایران نمایندگی رسمی شرکت‌های تحت تاثیر این آسیب‌پذیری مشغول به فعالیت نمی‌باشند، این وظیفه مدیران و کارشناسان شبکه سازمان‌هاست که در اولین فرصت نسبت به بررسی و بروزرسانی firmware محصولات مذکور اقدام نمایند. توصیه می‌شود هر چه سریع‌تر نرم‌افزار Treck IP stack را به آخرین نسخه آن (۶.۰.۱.۶۷ یا بالاتر) بروزرسانی کنید. همچنین پیشنهاد می‌گردد حملات شبکه را از طریق deep packet inspection  مسدود کنید، در برخی موارد سویچ‌ها، روترها و فایروال‌ها بسته‌های ناقص و بدون تنظیمات تکمیلی را رها می‌کنند. توصیه می‌شود چنین ویژگی‌های امنیتی غیرفعال نباشند.


منبع: https://cert.ir/news/13066