Cybersecurity-onderzoekers van JSOF hebben zojuist een set van 19 kwetsbaarheden gepubliceerd, Ripple20 genaamd, die van invloed zijn op de door Treck ontwikkelde TCP/IP-stack. Deze softwarestack is geïntegreerd in miljoenen systemen die worden gebruikt in de gezondheidszorg, transport, productie, telecom en energiemarkten, en kan gevolgen hebben voor een zeer groot aantal organisaties en kritieke industrieën.

De kwetsbaarheden zijn vergelijkbaar met de Urgent/11-kwetsbaarheden die in 2019 zijn gepubliceerd en die van invloed zijn op de door Interpeak ontwikkelde TCP/IP-stack. Net als Urgent/11 stellen de Ripple20-kwetsbaarheden aanvallers in staat om externe code-uitvoering en denial of service (DoS) te activeren. Veel leveranciers zoals HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter en anderen hebben al bevestigd dat ze worden beïnvloed door Ripple20.

De Cisco IoT-oplossingen die zijn ontworpen voor industriële omgevingen worden niet beïnvloed door Ripple20. In feite zullen producten zoals Cisco Cyber ​​Vision en de Cisco Industrial Security Appliance ISA3000 samen met Snort-handtekeningen van Cisco Talos helpen om Ripple20-kwetsbaarheden in uw netwerk te identificeren en risico's te verhelpen. Sommige Cisco-producten zijn kwetsbaar en u kunt het officiële Cisco-advies hier lezen.

Treck is opgericht in 1997 en ontwikkelt protocolstacks voor realtime embedded systemen. Het wordt door veel leveranciers van apparatuur gebruikt, omdat deze software geoptimaliseerde prestaties biedt voor IoT-apparaten met bijvoorbeeld een beperkt geheugen of beperkte verwerkingskracht. Het wordt verkocht in de vorm van een broncode waardoor het voor leveranciers gemakkelijk is om alleen de gewenste protocollagen te integreren en aan te passen voor specifieke toepassingen.

Als gevolg hiervan kunnen ze, afhankelijk van hoe fabrikanten deze bibliotheken hebben gespecialiseerd en geïntegreerd, vrijwel onidentificeerbaar worden. Bovendien, aangezien fabrikanten zijn overgenomen, kunnen sommigen deze softwarecomponent uit het oog zijn verloren, waardoor het behoorlijk moeilijk - zo niet onmogelijk - is om de betrokken producten te identificeren.

Een ander belangrijk feit is de eerdere samenwerking tussen Treck en het Japanse bedrijf Elmic System (vandaag Zuken Elmic). Deze samenwerking resulteerde in twee vergelijkbare TCP/IP-stacks die onafhankelijk door elke uitgever worden onderhouden en in verschillende regio's worden verkocht, één op de Amerikaanse markt en één op Aziatische markten. Verschillende Ripple20-kwetsbaarheden hebben ook invloed op de TCP/IP-stack die wordt onderhouden door Zuken Elmic.

Adres Ripple20 snel!

Ripple20 bestaat uit een reeks van 19 kwetsbaarheden. Vier van hen zijn kritisch met scores van meer dan 9 op de CVSS-ernstschaal. Deze moeten snel worden aangepakt, omdat ze kunnen worden misbruikt voor het uitvoeren van willekeurige externe code, denial-of-service-aanvallen en het vrijgeven van informatie.

CVE-2020-11901 is waarschijnlijk de meest ernstige kwetsbaarheid. Het kan worden geactiveerd door een DNS-verzoek van het apparaat te beantwoorden en kan leiden tot uitvoering van externe code. Omdat DNS-verzoeken over het algemeen het netwerk verlaten, kunnen ze gemakkelijk worden onderschept om een ​​aanvaller toegang te geven. Bovendien zal het pakket dat wordt verzonden om dit beveiligingslek te misbruiken, compatibel zijn met verschillende RFC's, waardoor het voor een firewall moeilijk wordt om de aanval te detecteren.

Dit is slechts een voorbeeld. De volledige lijst met Ripple20-kwetsbaarheden en hun beschrijvingen vindt u hier op de JSOF-website.

Ripple20 detecteren in uw IoT/OT-netwerken

JSOF schat dat enkele miljarden apparaten kunnen worden getroffen door de Ripple20-kwetsbaarheden, aangezien veel leveranciers de Treck TCP/IP-protocolstack geheel of gedeeltelijk hebben geïntegreerd in de systemen die ze ontwikkelen. Een lijst met betrokken leveranciers is opgesteld door het CISA ICS-CERT en is hier te vinden.

Hoewel er steeds meer details en een lijst met getroffen leveranciers verschijnen, zijn er enkele stappen die kunnen worden genomen om deze kwetsbaarheden te identificeren en zich ertegen te beschermen.

Aangezien leveranciers beveiligingsadviezen publiceren om te identificeren welke van hun producten worden beïnvloed, zal Cisco doorgaan met het bijwerken van de Cyber ​​Vision-kennisbank zodat het uw getroffen activa kan opsporen. Cisco Cyber ​​Vision is een oplossing die speciaal is ontworpen om aanvallen op IoT/OT-apparaten te detecteren. Het onthult automatisch de kleinste details van uw industriële netwerken en bouwt een uitgebreide activa-inventaris op die bekende kwetsbaarheden, zoals Ripple20, benadrukt.

De Cyber ​​Vision-kennisbank wordt regelmatig bijgewerkt en is gratis beschikbaar voor alle Cyber ​​Vision-klanten. Als je dit nog niet hebt gedaan, raden we je aan de nieuwste versie vandaag te installeren door deze hier te downloaden.

Vanwege de aard van de Ripple20-kwetsbaarheden en de soorten apparaten die zijn getroffen, kunt u kwetsbare activa mogelijk niet patchen - of u weet misschien nooit dat sommige activa kwetsbaar zijn. Om u te beschermen, zijn er enkele alternatieve maatregelen die kunnen worden genomen.

Hoe u uzelf onmiddellijk kunt beschermen

Op korte termijn kunt u uw inbraakdetectiesystemen (IDS) gebruiken om pogingen om deze kwetsbaarheden te misbruiken te detecteren en te waarschuwen. Cisco Cyber ​​Vision kan worden geconfigureerd met de SNORT IDS-engine, waarbij gebruik wordt gemaakt van regels die zijn ontwikkeld door Cisco Talos. De Cisco Industrial Security Appliance ISA3000 biedt dezelfde IDS, plus de mogelijkheid om dit gedrag te blokkeren en nog veel meer, allemaal in een robuuste vormfactor die kan worden ingezet naast de industriële apparaten die het beschermt.

De ISA3000 is ook bij uitstek geschikt om uw industriële netwerken te segmenteren en activa te isoleren die niet met elkaar hoeven te praten. Dit zorgt ervoor dat een mogelijke aanval kan worden ingeperkt en zich niet naar het hele netwerk verspreidt.

JSOF heeft vele andere saneringsaanbevelingen gegeven die u ook met de ISA3000 kunt implementeren. Deze omvatten de mogelijkheid om IP-fragmenten te blokkeren, IP te blokkeren in IP-tunneling, misvormde TCP-pakketten te weigeren, ongebruikte ICMP-berichten te blokkeren, DHCP-verkeer te beperken en onverwachte en niet-vereiste communicatie en protocollen in de omgeving te beperken.

Ga voor meer informatie over hoe Cisco u kan helpen uw industriële netwerk te beveiligen naar de IoT Security-hub of neem contact met ons op om uw industriële IoT-beveiligingsuitdagingen te bespreken.