Kritiska zero day-sårbarheter i TCP/IP-stack (Ripple20)

Sårbarhet TCP/IP-stack Ripple20

Flera zero day-sårbarheter har upptäckts i en TCP/IP-stack som ofta används i IoT-enheter och andra inbäddade lösningar. Sårbarheterna kallas Ripple20 och ligger i ett inbyggt bibliotek som används för TCP/IP-kommunikation. [1]

Totalt 19 sårbarheter har upptäckts, varav fyra är kritiska med en CVSS-klassning på 9.0 eller högre. Sårbarheterna innebär att en angripare kan ta över sårbara enheter på insidan av nätverket på distans.Hittills har åtta leverantörer bekräftat att deras utrustning är påverkad, bland andra HP, Intel, Rockwell och Schneider Electric. Det är inte bekräftat vilken typ av produkter och enheter som är drabbade, och förmodligen kommer fler att drabbas då källkoden kan köpas, ändras och utnyttjas vidare. [2, 3, 4]

CERT-SE har hittills inte sett något aktivt utnyttjande av sårbarheterna men avser att uppdatera artikeln om vi får några sådana indikationer.

Uppdatering 2020-07-28

CERT-SE har uppmärksammat att flera tillverkare under sommaren uppdaterat sina rekommendationer rörande Ripple20. Dessutom finns lite nya rekommendationer att läsa:

Påverkade produkter

Sårbarheterna berör bl.a. följande tillverkare (men märk att fler troligen är drabbade):

AudioCodes [16]
Avaya [17]
Baxter [8]
B. Braun [9]
Caterpillar [10]
Cisco [11]
Dell [18]
Digi [12]
GE [19]
HCL Tech [13]
HP [2]
HPE [14]
IBM Corporation [20]
Intel Maxlinear (via HLFN)
Ricoh [21]
Rockwell Automation
Sandia National Labs
Schneider Electric/APC [15]

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart en uppdatering finns tillgänglig, alternativt kontakta tillverkaren/återförsäljaren för vidare information.Se även de rekommendationer som våra kollegor på CERT-CC och CISA publicerar till återförsäljare och användare. [4, 5]

Källor

[1] https://www.jsof-tech.com/ripple20/

[2] https://support.hp.com/us-en/document/c06640149

[3] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00295.html

[4] https://www.kb.cert.org/vuls/id/257161

[5] https://www.us-cert.gov/ics/advisories/icsa-20-168-01

[6] https://treck.com/vulnerability-response-information/

[7] https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md

[8] https://www.baxter.com/sites/g/files/ebysai746/files/2020-07/BulletinSpectrumDigiTreck%20%28003%29.pdf

[9] https://www.bbraunusa.com/content/dam/b-braun/us/website/customer_communications/Cybersecurity_Vulnerability_Ripple20_Letter_MZ_FINAL_063020.pdf

[10] https://www.cat.com/en_US/support/technology/connected-solutions-principles/security/caterpillar-cybersecurity-advisory.html

[11] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC

[12] https://www.digi.com/support/knowledge-base/digi-international-security-notice-treck-tcp-ip-st

[13] https://www.hcltech.com/software/psirt

[14] https://techhub.hpe.com/eginfolib/securityalerts/Ripple20/Ripple20.html

[15] https://www.se.com/ww/en/download/document/SESB-2020-168-01/

[16] https://www.audiocodes.com/media/13240/sip-cpe-release-notes-ver-66.pdf ..
https://www.audiocodes.com/media/13261/sip-gateways-sbcs-release-notes-ver-70.pdf

[17] https://support.avaya.com/public/index?page=content&id=SOLN353492&viewlocale=en_US

[18] https://www.dell.com/support/article/en-us/sln321836/dell-response-to-the-ripple20-vulnerabilities?lang=en

[19] https://www.gehealthcare.com/security

[20] https://www.ibm.com/support/pages/ibm-storage-devices-are-not-exposed-ripple20-vulnerabilities

[21] https://www.ricoh-usa.com/en/support-and-download/alerts/alerts-security-vulnerability-announcements