一 漏洞概述

JSOF研究实验室在研究过程中发现Treck TCP/IP协议栈存在19个0day漏洞，这一系列漏洞统称为“Ripple20”。成功利用这些漏洞可能允许远程执行代码或暴露敏感信息。全球数亿台（甚至更多）IoT设备可能会受到远程攻击。

这19个漏洞都属于内存损坏问题，源于使用不同协议（包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太网链路层）在网络上发送的数据包的处理错误。

“Ripple20”包括四个严重漏洞：CVE-2020-11896可能导致远程执行代码，CVSS评分为10。CVE-2020-11897可能导致越界写入，CVSS评分为10。CVE-2020-11901可能导致远程执行代码，CVSS评分为9。CVE-2020-11898可能导致泄露敏感信息，CVSS评分为9.1。其他15个漏洞的严重程度不同，CVSS评分从3.1到8.2不等。

“Ripple20”漏洞具体信息如下：

CVE-2020-11896：在处理由未经授权的网络攻击者发送的数据包时，对IPv4 / UDP组件中的长度参数不一致的处理不当。该漏洞可能导致远程执行代码。

CVE-2020-11897：在处理未经授权的网络攻击者发送的数据包时，对IPv6组件中的长度参数不一致的处理不当。该漏洞可能导致越界写入。

CVE-2020-11901：处理未经授权的网络攻击者发送的数据包时，DNS解析器组件中的输入验证不正确。该漏洞可能导致远程执行代码。

CVE-2020-11898：处理未经授权的网络攻击者发送的数据包时，对IPv4 / ICMPv4组件中的长度参数不一致的处理不当。该漏洞可能导致敏感信息暴露。

CVE-2020-11900：处理网络攻击者发送的数据包时，IPv4隧道组件中可能存在双重释放。该漏洞可能导致Use After Free。

CVE-2020-11902：处理未经授权的网络攻击者发送的数据包时，IPv6OverIPv4隧道组件中的输入验证不正确。该漏洞可能导致越界读取。

CVE-2020-11904：处理未经授权的网络攻击者发送的数据包时，内存分配组件中可能存在整数溢出。该漏洞可能导致越界写入。

CVE-2020-11899：处理未经授权的网络攻击者发送的数据包时，IPv6组件中的输入验证不正确。该漏洞可能导致越界读取或拒绝服务。

CVE-2020-11903：处理未经授权的网络攻击者发送的数据包时，DHCP组件中存在越界读取问题。该漏洞可能导致敏感信息泄露。

CVE-2020-11905：处理未经授权的网络攻击者发送的数据包时，DHCPv6组件中存在越界读取问题。该漏洞可能导致敏感信息泄露。

CVE-2020-11906：在处理未经授权用户发送的数据包时，以太网链路层组件中输入验证不正确。该漏洞可能导致整数溢出。

CVE-2020-11907：处理未经授权的网络攻击者发送的数据包时，TCP组件中对参数长度不一致的处理不当。该漏洞可能导致整数溢出。

CVE-2020-11909：处理未经授权的网络攻击者发送的数据包时，IPv4组件中的输入验证不正确。该漏洞可能导致整数溢出。

CVE-2020-11910：处理未经授权的网络攻击者发送的数据包时，ICMPv4组件中的输入验证不正确。该漏洞可能导致越界读取。

CVE-2020-11911：处理未经授权的网络攻击者发送的数据包时，ICMPv4组件中的访问控制不正确。该漏洞可能导致关键资源的权限分配错误。

CVE-2020-11912：处理未经授权的网络攻击者发送的数据包时，TCP组件中的输入验证不正确。该漏洞可能导致越界读取。

CVE-2020-11913：处理未经授权的网络攻击者发送的数据包时，IPv6组件中的输入验证不正确。该漏洞可能导致越界读取。

CVE-2020-11914：处理未经授权的网络攻击者发送的数据包时，ARP组件中的输入验证不正确。该漏洞可能导致越界读取。

CVE-2020-11908：处理未经授权的网络攻击者发送的数据包时，DHCP组件中的Null Termination不正确。该漏洞可能导致敏感信息泄露。

二 影响版本

＜Treck TCP/IP协议栈6.0.1.66

三 复现过程

无

四 影响范围

JSOF已与多家组织合作，协调漏洞披露和修补工作，包括CERT / CC、CISA、FDA、国家CERT、受影响的供应商和其他网络安全公司。到目前为止，已经确认来自11个供应商的产品易受攻击，涉及打印机、UPS系统、网络设备、IP摄像机、视频会议系统、楼宇自动化设备和ICS设备等。

五 修复建议

知道创宇建议所有组织在部署防御措施之前进行全面的风险评估并且部署防御措施。

1.对于设备供应商的缓解措施：

（1）确定您是否使用了易受攻击的Treck堆栈；

（2）联系Treck了解风险；

（3）更新到最新的Treck堆栈版本（6.0.1.67或更高版本）；

（4）如果无法更新，请考虑禁用易受攻击的功能。

2.对于设备使用商的缓解措施：

（1）针对物联网设备，禁止IP_IN_IP的访问，即类似VPN方式的数据访问。

（2）如果使用的防护设备可以自定义规则，则可以添加如下规则：

#IP-in-IP tunnel with fragments

alert ip any any -> any any (msg:"VU#257161:CVE-2020-11896 Fragments inside IP-in-IP tunnel"; ip_proto:4; fragbits:M; rev:1;)

（3）随时关注设备厂商的软件更新公告，即时更新系统到最新版本。

（4）限制物联网设备访问权限与访问范围。

3.对于安全厂商的缓解措施：

（1）防护类增加如下规则，并需要和设备资产进行关联（是否物联网设备），精确进行防护，减少误报。

#IP-in-IP tunnel with fragments

alert ip any any -> any any (msg:"VU#257161:CVE-2020-11896 Fragments inside IP-in-IP tunnel"; ip_proto:4; fragbits:M; rev:1;)

（2）检测类设备

目前确认受影响的厂商为：

Aruba Networks

Baxter US

B.Braun

CareStream

Caterpillar

Cisco

Digi International

Green Hills Software

Hewlett Packard Enterprise

HP Inc.

Rockwell Automation

Schneider Electric

Teradici

Treck

Xerox

Zuken Elmic

六 时间线

JSOF官方披露漏洞时间：2020年6月16日

知道创宇发布漏洞情报时间：2020年6月30日

七 相关链接

JSOF：https://www.jsof-tech.com/ripple20/