19 zero-dayów w popularnej implementacji stosu TCP/IP. Podatnych „setki milionów urządzeń”. #Ripple20

Chodzi o implementację TCP/IP używaną przez rozmaite urządzenia sieciowe:

smart home devices, power grid equipment, healthcare systems, industrial gear, transportation systems, printers, routers, mobile/satellite communications equipment, data center devices, commercial aircraft devices

Sam podatny software jest autorstwa mało znanej firmy Treck i ma on przeszło 20 lat. Był i jest używany w „setkach milionów urządzeń”. Kto weryfikuje, co dokładnie działa na naszej drukarce, routerze, pompie insulinowej, systemach komunikacji satelitarnej czy urządzeniach przemysłowych? Działa to działa :)

Część z 19 odkrytych podatności jest klasy RCE (remote code execution), a jedna może być wykorzystana nawet z poziomu Internetu:

Four of the Ripple20 vulnerabilities are rated critical, with CVSS scores over 9 and enable Remote Code Execution. One of the critical vulnerabilities is in the DNS protocol and may potentially be exploitable by a sophisticated attacker over the internet, from outside the network boundaries, even on devices that are not connected to the internet.

Nie wszystkie podatności są upublicznione, ale zobaczcie tutaj:

CVE-2020-11896 is a critical vulnerability in Treck TCP/IP stack. It allows for Remote Code execution by any attacker that can send UDP packets to an open port on the target device. A prerequisite of this vulnerability is that the device supports IP fragmentation with IP tunneling. In some of the cases where this prerequisite is not met, there will remain a DoS vulnerability.

Mamy tutaj pokazanego gotowego exploita (poprzez wysłanie odpowiednio spreparowanych pakietów ICMP oraz UDP). Jako bonus jest też dodatkowa podatność która w razie potrzeby pomoże ominąć np. ASLR:

This vulnerability can be used to exploit CVE-2020-11896 and other RCE vulnerabilities when exploit mitigations (like ASLR) are enabled, as well as in cases where a debugger is not present.

Podatności okrzyknięte zbiorczo jako Ripple20 zostały załatane, ale zapewne masa urządzeń nie dostanie łatki. Dla porządku, badacze zalecają:

Update to latest Treck stack version  (6.0.1.67 or higher)

Kto używa starego software? Niektórzy się przyznają. Inni producenci pewnie nawet nie chcą słyszeć o problemie… Badacze na życzenie udostępniają skrypt sprawdzający czy dane urządzenie korzysta z implementacji stosu TCP/IP firmy Treck.

–ms