Treck TCP/IP协议库多个漏洞安全风险通告

2020-06-30 11:45

报告编号：B6-2020-062902

报告来源：360CERT

报告作者：360CERT

更新日期：2020-12-30

0x01事件背景

2020年06月29日，360CERT监测到Treck官方发布了Treck TCP/IPv4/IPv6 软件库的安全更新。

对此，360CERT建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

Treck TCP/IP是专门为嵌入式系统设计的高性能TCP/IP协议处理套件。

此次安全更新发布了多个漏洞补丁，其中CVE编号有19个，包括CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE-2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。针对这一系列漏洞，JSOF（漏洞发现者）对其命名为：Ripple20，19个漏洞都是内存损坏问题，漏洞类型主要为远程代码执行漏洞、拒绝服务漏洞和缓冲区溢出漏洞，原因是Treck的软件库对不同协议数据包处理错误而造成的（包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太网链路层）。

0x02风险等级

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛

0x03漏洞详情

1. 该系列漏洞并非广义的TCP/IP协议的漏洞;其危害不针对整个互联网。

2. 目前已公布的受影响的设备均为 IoT 设备，在 PC 设备领域没有发现受到影响的设备。

3. 该系列漏洞存在于 treck 公司开发的TCP/IP底层库实现中。

4. 根据 Ripple20 报告，该系列漏洞最高的危害是堆溢出造成远程命令执行。

5. 目前暂未统计出受影响的所有设备列表。

6. 远程命令执行需要构造复杂的系列数据包，利用难度非常高。

7. 需要满足特定条件才可触发漏洞。

如果发现相关设备存在漏洞，请及时联系设备厂商进行修复。或参考下方缓解措施。

部分漏洞可以造成的影响如下

漏洞编号(CVE-2020-*)	造成影响
11896/11901	远程代码执行
11897/11904	越界写
11898/11903/11905/11908	信息泄漏
11900	UAF
11899/11902/11910/11912/11913/11914	越界读
11906/11907/11909	溢出
11911	水平越权

部分漏洞核心问题点以及临时缓解方案如下

漏洞编号(CVE-2020-*)	问题触发点	缓解措施
11896/11907	ip 分片处理	禁用该功能
11897/11906	ipv4/ipv6 源路由功能	禁用该功能
11898/11900/11902	ip-in-ip隧道	禁用该功能
11899	ff00::/8 广播包	禁止该地址广播包
11901	DNS	DNS数据包检测；使用安全DNS
11903/11905	DHCPv4/DHCPv6	禁用 DHCP 客户端；禁用 DHCP 中继
11910/11911	ICMP	禁止特殊的ICMP报文(MTU/地址掩码更新等)
11913/11914	错误的以太网帧	丢弃格式错误的以太网帧
11912	错误的TCP 数据包	检测 TCP SACK和时间戳，丢弃错误的TCP 数据包