Ripple20: Zahlreiche Schwachstellen im TCP/IP-Stack von Treck entdeckt

qualys-1

Animesh Jain, Vulnerability Signatures Product Manager, Qualys

 

Vor kurzem wurden zahlreiche Sicherheitslücken in Implementierungen des Treck IP-Stacks für eingebettete Systeme gefunden. Sie befinden sich in einer Low-Level TCP/IP-Softwarebibliothek, die von Treck, Inc. entwickelt wurde. Die Schwachstellen wurden vom Forschungslabor von JSOF entdeckt und werden gemeinsam als Ripple20 bezeichnet.

Die Ripple20-Schwachstellen

Ripple20 umfasst 19 Sicherheitslücken, die Hunderte von Geräten (oder mehr) betreffen. Viele dieser Lücken lassen sich potenziell aus der Ferne für Angriffe ausnutzen.

Vier der Ripple20-Schwachstellen (CVE-2020-11896, CVE-2020-11897, CVE-2020-11898, CVE-2020-11901) sind kritisch mit CVSS-Werten über 9 und ermöglichen Remote-Codeausführung. Eine der kritischen Lücken liegt im DNS-Protokoll und könnte potenziell von einem entfernten Angreifer ausgenutzt werden – oder sogar auf Geräten, die gar nicht mit dem Internet verbunden sind. Die übrigen Schwachstellen haben CVSS-Werte zwischen 3,1 und 8,2 und können zu einem Denial-of-Service, Remote-Codeausführung oder zur Preisgabe sensibler Informationen führen.

Erkennung von Schwachstellen im Treck IP-Stack mit Qualys VM

Qualys hat die IG (Information Gathered) QID 48106 herausgegeben, um den Kunden zu helfen, Geräte aufzuspüren, in denen der IP-Stack von Treck eingesetzt wird. Diese QID kann durch einen Remote-Scan ohne Authentifizierung mit TCP/IP_Fingerprint sowie einen ICMP-Test ermittelt werden.

QID 48106: IP-Stack von Treck erkannt

Neben der IG QID 48106 hat Qualys auch die Vulnerability QID 38789 herausgegeben, die zahlreiche CVEs bei HP-Druckern abdeckt: CVE-2020-11901, CVE-2020-11899, CVE-2020-11900, CVE-2020-11896, CVE-2020-11898, CVE-2020-11904, CVE-2020-11905, CVE-2020-11906, CVE-2020-11907, CVE-2020-11909, CVE-2020-11910, CVE-2020-11911, CVE-2020-11912 und CVE-2020-11914. Diese QID ist in der Signatur-Version VULNSIGS-2.4.924-2 und höher enthalten.

QID 38789: Potenzielle Schwachstellen im Netzwerkstack mehrerer HP-Drucker (Ripple20)

Die Patches sind noch nicht für alle Anbieter verfügbar, doch HP hat Patches für Drucker veröffentlicht, und mit der Qualys QID 38789 können Sie Schwachstellen im Treck Netzwerkstack auf HP-Druckern ermitteln.
Da die Schwachstellen einen TCP/IP-Netzwerkstack betreffen, den viele Hersteller in ihren Produkten verwenden, haben wir die IG QID 48106 herausgegeben: Damit können die Kunden Geräte ermitteln, in denen der Netzwerkstack von Treck zum Einsatz kommt. Dann können sie Workarounds anwenden, um das Risiko zu mindern, bis die jeweiligen Hersteller Updates für ihre Produkte herausbringen. Wir überwachen die Hersteller-Updates aktiv auf Informationen zu Patches und wollen weitere QID-Checks herausgeben, sobald mehr Hersteller Updates veröffentlichen.

Qualys Threat Protection

Die Kunden von Qualys können diese Bedrohungen proaktiv über den „Live-Feed“ im Auge behalten, der die Priorisierung von Bedrohungen ermöglicht. Mit dem „Live-Feed“, der um alle neu auftretenden hohen und mittelschweren Risiken aktualisiert wird, können Sie klar erkennen, welche Hosts von den Bedrohungen betroffen sind.

Klicken Sie einfach auf die Zahl der betroffenen Assets, um sich eine Liste der Hosts mit diesen Schwachstellen anzeigen zu lassen.

Workaround

Treck hat Patches zur Behebung der Ripple20-Schwachstellen veröffentlicht. In Fällen, in denen sich diese Patches nicht anwenden lassen, können die Kunden auf die folgenden Workarounds zurückgreifen:

  • Sorgen Sie dafür, dass eingebettete und kritische Geräte gegenüber dem Netzwerk so wenig wie möglich exponiert sind und dass die Geräte nur dann über das Internet zugänglich sind, wenn es unbedingt erforderlich ist.
  • Isolieren Sie OT-Netzwerke und OT-Geräte hinter Firewalls und schotten Sie sie vom Unternehmensnetzwerk ab.
  • Lassen Sie nur sichere Fernzugriffsverfahren zu.
  • Blocken Sie Netzwerkangriffe durch Deep Packet Inspection, ähnlich wie moderne Switches, Router und Firewalls missgebildete Pakete ohne zusätzliche Konfiguration verwerfen.

Weitere Abhilfemaßnahmen für Betreiber und Netzwerke oder für Gerätehersteller sind auf Github und Ripple20 zu finden.

Wir danken den Forschern bei JSOF für die Zusammenarbeit und dafür, dass sie dem Forscherteam von Qualys die notwendigen Informationen über die Schwachstellen zur Verfügung gestellt haben.

Wir empfehlen unseren Kunden, die IG QID 48106 zu nutzen, um ihre Systeme auf Geräte mit dem Netzwerkstack von Treck zu überprüfen. Wenn Sie HP-Drucker verwenden, nutzen Sie bitte die QID 38789, um festzustellen, ob diese von den Ripple20-Schwachstellen betroffen sind.