Ripple20:Критические уязвимости могут подвергать риску ваши устройства IoT / OT

Исследователи кибербезопасности из JSOF только что опубликовали набор из 19 уязвимостей, получивших название Ripple20, которые влияют на стек TCP / IP, разработанный Treck. Этот программный стек интегрирован в миллионы систем, используемых на рынках здравоохранения, транспорта, производства, телекоммуникаций и энергетики, потенциально затрагивая очень большое количество организаций и важнейших отраслей.

Уязвимости аналогичны уязвимостям Urgent / 11, опубликованным в 2019 году и влияющим на стек TCP / IP, разработанный Interpeak. Как и Urgent / 11, уязвимости Ripple20 позволяют злоумышленникам запускать удаленное выполнение кода и отказ в обслуживании (DoS). Многие поставщики, такие как HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter и другие, уже подтвердили, что Ripple20 затронул их.

Решения Cisco IoT, разработанные для промышленных сред, не подвержены влиянию Ripple20. Фактически, такие продукты, как Cisco Cyber ​​Vision и Cisco Industrial Security Appliance ISA3000 вместе с сигнатурами Snort от Cisco Talos, помогут выявлять уязвимости Ripple20 в вашей сети и устранять риски. Некоторые продукты Cisco уязвимы, и вы можете прочитать официальные рекомендации Cisco здесь.

Компания Treck была основана в 1997 году и занимается разработкой стеков протоколов для встроенных систем реального времени. Он используется многими поставщиками оборудования, поскольку это программное обеспечение предлагает оптимизированную производительность для устройств IoT, которые, например, обычно имеют ограниченную память или вычислительную мощность. Он продается в виде исходного кода, что позволяет поставщикам легко интегрировать только требуемые уровни протокола и изменять их для конкретных приложений.

В результате, в зависимости от того, как производители специализировали и интегрировали эти библиотеки, они могут стать практически неидентифицируемыми. Кроме того, по мере того, как были приобретены производители, некоторые из них могли потерять из виду этот программный компонент, что сделало довольно трудным - если не невозможным - выявление затронутых продуктов.

Еще один важный факт - это прошлое сотрудничество между Treck и японской компанией Elmic System (сегодня Zuken Elmic). Результатом этого сотрудничества стало создание двух одинаковых стеков TCP / IP, поддерживаемых каждым издателем независимо и продаваемых в разных регионах:один на рынке США, а другой на рынках Азии. Несколько уязвимостей Ripple20 также влияют на стек TCP / IP, поддерживаемый Zuken Elmic.

Обратитесь к Ripple20 быстро!

Ripple20 состоит из серии из 19 уязвимостей. Четыре из них являются критическими, набрав более 9 баллов по шкале тяжести CVSS. С этими проблемами следует бороться быстро, поскольку они могут быть использованы для произвольного удаленного выполнения кода, атак типа «отказ в обслуживании» и раскрытия информации.

CVE-2020-11901 - вероятно, самая серьезная уязвимость. Это может быть вызвано ответом на запрос DNS от устройства и может привести к удаленному выполнению кода. Поскольку DNS-запросы обычно покидают сеть, их можно легко перехватить, чтобы дать злоумышленнику путь внутрь. Кроме того, пакет, отправленный для использования этой уязвимости, будет соответствовать различным RFC, что затрудняет обнаружение атаки межсетевым экраном.

Это всего лишь пример. Полный список уязвимостей Ripple20 и их описания можно найти на веб-сайте JSOF здесь.

Обнаружение Ripple20 в ваших сетях IoT / OT

По оценкам JSOF, уязвимости Ripple20 могут затронуть несколько миллиардов устройств, поскольку многие поставщики интегрировали весь или части стека протоколов Treck TCP / IP в разрабатываемые ими системы. Список затронутых поставщиков был составлен CISA ICS-CERT, и его можно найти здесь.

Хотя подробности и список затронутых поставщиков продолжают появляться, есть некоторые шаги, которые можно предпринять, чтобы помочь выявить эти уязвимости и защититься от них.

Поскольку поставщики публикуют рекомендации по безопасности, чтобы определить, какие из их продуктов подвергаются воздействию, Cisco будет продолжать обновлять базу знаний Cyber ​​Vision, чтобы выявлять ваши уязвимые активы. Cisco Cyber ​​Vision - это решение, специально разработанное для обнаружения атак на устройства IoT / OT. Он автоматически обнаруживает мельчайшие детали ваших промышленных сетей и создает полную инвентаризацию активов, выделяя известные уязвимости, такие как Ripple20.

База знаний Cyber ​​Vision часто обновляется и доступна бесплатно всем клиентам Cyber ​​Vision. Если вы еще этого не сделали, мы рекомендуем вам установить последнюю версию сегодня, загрузив ее здесь.

Из-за природы уязвимостей Ripple20 и типов затронутых устройств у вас может не получиться исправить уязвимые активы - или вы никогда не узнаете, что некоторые активы уязвимы. Чтобы защитить себя, можно принять несколько альтернативных мер.

Как защитить себя немедленно

В краткосрочной перспективе вы можете использовать свои системы обнаружения вторжений (IDS) для обнаружения и предупреждения попыток использования этих уязвимостей. Cisco Cyber ​​Vision можно настроить с помощью механизма SNORT IDS, используя правила, разработанные Cisco Talos. Устройство Cisco Industrial Security Appliance ISA3000 предлагает ту же IDS, а также возможность блокировать это поведение и многое другое в защищенном форм-факторе, который можно использовать вместе с промышленными устройствами, которые оно защищает.

ISA3000 также идеально подходит для сегментирования промышленных сетей и изоляции ресурсов, которым не нужно взаимодействовать друг с другом. Это обеспечит сдерживание потенциальной атаки и не распространится на всю сеть.

JSOF предоставил множество других рекомендаций по исправлению ошибок, которые вы также можете реализовать с помощью ISA3000. К ним относятся возможность блокировать IP-фрагменты, блокировать IP при IP-туннелировании, отклонять искаженные TCP-пакеты, блокировать неиспользуемые ICMP-сообщения, ограничивать трафик DHCP и ограничивать неожиданные и ненужные коммуникации и протоколы в среде.

Чтобы узнать больше о том, как Cisco может помочь вам защитить вашу промышленную сеть, посетите Центр безопасности Интернета вещей или свяжитесь с нами, чтобы обсудить проблемы безопасности промышленного Интернета вещей.