美国Treck公司12月18日发布安全更新,修复Treck TCP/IP Stack中的两个可导致远程代码执行或拒绝服务的超危漏洞。美国网络安全和基础设施安全局(CISA)于同日发布一则安全公告,警告使用工业控制系统的组织这些漏洞带来的风险。
Treck TCP/IP Stack,是一个底层TCP/IP软件库,是专门为嵌入式系统设计的,代码占用空间较小。CISA称,该产品广泛用于全世界的关键制造、IT、医疗和运输行业。
Intel公司的安全研究人员在Treck TCP/IP Stack中发现了四个新的安全漏洞,上周,这四个漏洞得到公开披露,其中两个被评为超危漏洞。
最严重的漏洞为CVE-2020-25066(CVSS评分9.8),是一个存在于Treck HTTP Server组件的基于堆的缓冲区溢出漏洞,攻击者可滥用该漏洞造成拒绝服务或远程执行代码。
第二个超危漏洞为CVE-2020-27337(CVSS评分9.1),该越界写入漏洞存在于IPv6组件,未经身份验证的攻击者可利用该漏洞导致拒绝服务。
Treck IPv6的DHCPv6 client组件存在一个越界读取漏洞,如果攻击者位于临近网络,则可利用该漏洞引发拒绝服务,对该漏洞的利用无需身份验证。该漏洞编号为CVE-2020-27338(CVSS评分5.9)。
第四个漏洞CVE-2020-27336(CVSS评分3.7),是个存在于IPv6组件的身份验证错误漏洞,可导致越界读取最多三个字节的数据,利用该漏洞同样无需身份验证。
上述漏洞影响Treck TCP/IP Stack 6.0.1.67及之前版本。Treck公司已在6.0.1.68版本中修复了漏洞。
Treck公司建议无法应用最新补丁的用户实施防火墙规则,过滤HTTP header中content length为负值的数据包。
为了最小化漏洞利用引发的风险,用户应确保控制系统无法从互联网上-访问。用户应将控制系统网络和远程设备与业务网络隔离,同时设置在防火墙之后,并应使用安全的方法(如VPN)进行远程访问。
就在这些新的漏洞被公开披露之际,安全公司Forescout宣布发布一个开源脚本(https://github.com/Forescout/project-memoria-detector),可以帮助识别对TCP/IP协议栈的使用是否容易受到最近披露的AMNESIA:33系列漏洞的影响。
不过,Forescout表示,虽然已经在实验室环境中用受到AMNESIA:33漏洞影响的四个协议栈测试了该脚本,但是无法保证任何设备都可安全使用该脚本,因此建议不要将该脚本直接用于含有执行关键任务的设备的真实环境。
作者:Ionut Arghire
来源:Security Week
来源:freebuf.com 2020-12-23 16:35:02 by: 偶然路过的围观群众
请登录后发表评论
注册