Aggiornamento Alert GCSA-20052 - Ripple20: Vulnerabilita' multiple nello stack TCP/IP di Treck per sistemi embedded
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-20052
Data: 25 giugno 2020
Titolo: Ripple20: Vulnerabilita' multiple nello stack TCP/IP di Treck per sistemi
embedded
******************************************************************
:: Descrizione del problema
Ripple20 e' una serie di 19 vulnerabilita' di tipo 0-day, scoperte da
JSOF research lab, nello stack TCP/IP che e' utilizzato largamente da
sistemi embedded e IoT. Da una stima effettuata i sistemi affetti
potrebbero essere centinaia di milioni, e coinvolgono numerosi sistemi e
vendor.
Questo aggiornamento del bollettino precedente e' emesso per aggiungere
che, oltre alle librerie di basso livello TCP/IP di Treck Inc. le
vulnerabilita' affliggono anche le librerie TCP/IP di Elmic/KASAGO.
Inoltre l'aggiornamento del bollettino intende fornire una lista
dettagliata dei vendor che hanno ad oggi, sviluppato una patch, oltre a
fornire ulteriori riferimenti, infine per sensibilizzare ulteriormente
le strutture sulla gravita' del problema e la necessita' di contenerlo
il piu' possibile.
:: Software interessato
Lo stack TCP/IP di Treck e' progettato e usato per numerosi sistemi
embedded, che lo possono includere sia compilato dai sorgenti che in
varie forme di licenza d'uso dei binari. Presenta numerose
vulnerabilita' molte delle quali generate da errori nella gestione della
memoria. In generale e' interessata la libreria TCP/IP di Treck Inc. che gestisce
IPv4
IPv6
UDP
DNS
DHCP
TCP
ICMPv4
ARP
Di seguito la lista aggiornata ad oggi dei vendor con la vulnerabilita'
confermata:
Aruba Networks (apparati switch L2/L3)
B|Braun USA (apparati medicali)
Baxter U.S.
CARESTREAM
CATERPILLAR
Cisco
DIGI
Elmic/KASAGO
Green Hills Software
HCL Tech
HP
HPE
INTEL
Maxilinear
ROCKWELL AUTOMATION
Schneider
Teradici
Treck
Xerox
:: Impatto
Denial of Service (DoS)
Esecuzione remota di codice arbitrario (RCE)
Esposizione di informazioni riservate
:: Soluzioni
Di seguito la lista delle patch al momento sviluppate. La lista e' in
continuo aggiornamento, consultare la sezione Riferimenti per ottenere
l'ultima versione.
Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC
DIGI
https://www.digi.com/support/knowledge-base/digi-international-security-notice-treck-tcp-ip-st
HP
https://support.hp.com/us-en/document/c06640149
https://support.hp.com/us-en/document/c06655639
INTEL
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00295.html
Teradici
https://advisory.teradici.com/security-advisories/56/
Treck Inc.
https://treck.com/vulnerability-response-information/
Xerox
https://security.business.xerox.com/wp-content/uploads/2020/06/cert_Security_Mini_Bulletin_XRX20J_for_B2XX.pdf
Mitigazione
Qualora non fossero disponibili patch, esiste un workaround che
impedisce di sfruttare le vulnerabilita'. Questo workaround consiste
nell' ispezionare, tramite un apparato packet inspector (firewall/IDS o
simili), pacchetti malformati in ingresso, secondo alcuni criteri, ed
eventualmente bloccarli.
Qua sotto un link alle suddette regole/criteri per sistemi Suricata.
E' consigliabile applicarle nella propria struttura, con le modifiche
necessarie per adattarle al software di packet inspection/filtering
utilizzato
https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/vu-257161.rules
:: Riferimenti
I link che sono stati segnalati nel precedente bollettino vengono
aggiornati spesso in questi giorni, vi consigliamo di tenerli d'occhio
per eventuali novita':
https://www.kb.cert.org/vuls/id/257161
https://www.us-cert.gov/ics/advisories/icsa-20-168-01
https://treck.com/vulnerability-response-information/
Di seguito alcune risorse aggiuntive:
JSOF (advisory originale)
https://www.jsof-tech.com/ripple20/
Lista aggiornata dei vendor ed eventuali patch
https://gist.github.com/SwitHak/5f20872748843a8ad697a75c658278fe
Consigli e possibile strategia di mitigazione
https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11896
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11900
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11901
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11903
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11904
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11905
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11906
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11907
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11908
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11909
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11910
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11911
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11912
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11913
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11914
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCXvS3wAAKCRDBnEyTZRJg
QmtkAKCoCPmucNUoezwWQaRJ3jxMXn30egCg1bVbUax7Cj2KYKwkny6gYIEp6NM=
=YnBX
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-20052
Data: 25 giugno 2020
Titolo: Ripple20: Vulnerabilita' multiple nello stack TCP/IP di Treck per sistemi
embedded
******************************************************************
:: Descrizione del problema
Ripple20 e' una serie di 19 vulnerabilita' di tipo 0-day, scoperte da
JSOF research lab, nello stack TCP/IP che e' utilizzato largamente da
sistemi embedded e IoT. Da una stima effettuata i sistemi affetti
potrebbero essere centinaia di milioni, e coinvolgono numerosi sistemi e
vendor.
Questo aggiornamento del bollettino precedente e' emesso per aggiungere
che, oltre alle librerie di basso livello TCP/IP di Treck Inc. le
vulnerabilita' affliggono anche le librerie TCP/IP di Elmic/KASAGO.
Inoltre l'aggiornamento del bollettino intende fornire una lista
dettagliata dei vendor che hanno ad oggi, sviluppato una patch, oltre a
fornire ulteriori riferimenti, infine per sensibilizzare ulteriormente
le strutture sulla gravita' del problema e la necessita' di contenerlo
il piu' possibile.
:: Software interessato
Lo stack TCP/IP di Treck e' progettato e usato per numerosi sistemi
embedded, che lo possono includere sia compilato dai sorgenti che in
varie forme di licenza d'uso dei binari. Presenta numerose
vulnerabilita' molte delle quali generate da errori nella gestione della
memoria. In generale e' interessata la libreria TCP/IP di Treck Inc. che gestisce
IPv4
IPv6
UDP
DNS
DHCP
TCP
ICMPv4
ARP
Di seguito la lista aggiornata ad oggi dei vendor con la vulnerabilita'
confermata:
Aruba Networks (apparati switch L2/L3)
B|Braun USA (apparati medicali)
Baxter U.S.
CARESTREAM
CATERPILLAR
Cisco
DIGI
Elmic/KASAGO
Green Hills Software
HCL Tech
HP
HPE
INTEL
Maxilinear
ROCKWELL AUTOMATION
Schneider
Teradici
Treck
Xerox
:: Impatto
Denial of Service (DoS)
Esecuzione remota di codice arbitrario (RCE)
Esposizione di informazioni riservate
:: Soluzioni
Di seguito la lista delle patch al momento sviluppate. La lista e' in
continuo aggiornamento, consultare la sezione Riferimenti per ottenere
l'ultima versione.
Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC
DIGI
https://www.digi.com/support/knowledge-base/digi-international-security-notice-treck-tcp-ip-st
HP
https://support.hp.com/us-en/document/c06640149
https://support.hp.com/us-en/document/c06655639
INTEL
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00295.html
Teradici
https://advisory.teradici.com/security-advisories/56/
Treck Inc.
https://treck.com/vulnerability-response-information/
Xerox
https://security.business.xerox.com/wp-content/uploads/2020/06/cert_Security_Mini_Bulletin_XRX20J_for_B2XX.pdf
Mitigazione
Qualora non fossero disponibili patch, esiste un workaround che
impedisce di sfruttare le vulnerabilita'. Questo workaround consiste
nell' ispezionare, tramite un apparato packet inspector (firewall/IDS o
simili), pacchetti malformati in ingresso, secondo alcuni criteri, ed
eventualmente bloccarli.
Qua sotto un link alle suddette regole/criteri per sistemi Suricata.
E' consigliabile applicarle nella propria struttura, con le modifiche
necessarie per adattarle al software di packet inspection/filtering
utilizzato
https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/vu-257161.rules
:: Riferimenti
I link che sono stati segnalati nel precedente bollettino vengono
aggiornati spesso in questi giorni, vi consigliamo di tenerli d'occhio
per eventuali novita':
https://www.kb.cert.org/vuls/id/257161
https://www.us-cert.gov/ics/advisories/icsa-20-168-01
https://treck.com/vulnerability-response-information/
Di seguito alcune risorse aggiuntive:
JSOF (advisory originale)
https://www.jsof-tech.com/ripple20/
Lista aggiornata dei vendor ed eventuali patch
https://gist.github.com/SwitHak/5f20872748843a8ad697a75c658278fe
Consigli e possibile strategia di mitigazione
https://github.com/CERTCC/PoC-Exploits/blob/master/vu-257161/recommendations.md
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11896
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11900
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11901
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11903
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11904
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11905
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11906
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11907
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11908
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11909
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11910
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11911
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11912
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11913
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11914
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCXvS3wAAKCRDBnEyTZRJg
QmtkAKCoCPmucNUoezwWQaRJ3jxMXn30egCg1bVbUax7Cj2KYKwkny6gYIEp6NM=
=YnBX
-----END PGP SIGNATURE-----