Ripple20：重大な脆弱性がIoT / OTデバイスを危険にさらしている可能性があります

JSOFのサイバーセキュリティ研究者は、Treckによって開発されたTCP / IPスタックに影響を与えているRipple20と呼ばれる19の脆弱性のセットを公開しました。このソフトウェアスタックは、ヘルスケア、輸送、製造、通信、エネルギー市場で使用される何百万ものシステムに統合されており、非常に多くの組織や重要な業界に影響を与える可能性があります。

この脆弱性は、2019年に公開されたUrgent / 11の脆弱性と類似しており、Interpeakによって開発されたTCP / IPスタックに影響を与えます。 Urgent / 11と同様に、Ripple20の脆弱性により、攻撃者はリモートコード実行およびサービス拒否（DoS）をトリガーできます。 HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar、Baxterなどの多くのベンダーは、Ripple20の影響を受けることをすでに確認しています。

産業環境向けに設計されたCiscoIoTソリューションは、Ripple20の影響を受けません。実際、Cisco Cyber​​VisionやCiscoIndustrial Security Appliance ISA3000などの製品とCisco TalosのSnort署名は、ネットワーク内のRipple20の脆弱性を特定し、リスクを修正するのに役立ちます。一部のシスコ製品は脆弱であり、シスコの公式アドバイザリをここで読むことができます。

Treckは1997年に設立され、リアルタイム組み込みシステム用のプロトコルスタックを開発しています。このソフトウェアは、たとえばメモリや処理能力が通常制限されているIoTデバイスに最適化されたパフォーマンスを提供するため、多くの機器ベンダーによって使用されています。ソースコードの形式で販売されているため、ベンダーは必要なプロトコルレイヤーのみを統合し、特定のアプリケーション向けに変更することが容易になります。

その結果、メーカーがこれらのライブラリをどのように専門化して統合したかによっては、事実上識別できなくなる可能性があります。さらに、メーカーが買収されたため、このソフトウェアコンポーネントを追跡できなくなった可能性があり、影響を受ける製品を特定することが不可能ではないにしても非常に困難になっています。

もう一つの重要な事実は、トレックと日本の会社エルミックシステム（現在の図研エルミック）との過去のコラボレーションです。このコラボレーションにより、2つの同様のTCP / IPスタックが各パブリッシャーによって独立して維持され、異なる地域で販売されました。1つは米国市場で、もう1つはアジア市場で販売されました。いくつかのRipple20の脆弱性も、ZukenElmicによって維持されているTCP / IPスタックに影響を与えます。

Ripple20にすばやく対処してください！

Ripple20は、一連の19の脆弱性で構成されています。それらのうちの4つは、CVSS重大度スケールで9を超えるスコアでクリティカルです。これらは、任意のリモートコード実行、サービス拒否攻撃、および情報開示に悪用される可能性があるため、迅速に対処する必要があります。

CVE-2020-11901はおそらく最も深刻な脆弱性です。デバイスからのDNS要求に応答することでトリガーされる可能性があり、リモートでコードが実行される可能性があります。 DNSリクエストは通常​​ネットワークを離れるため、攻撃者に侵入するために簡単に傍受される可能性があります。さらに、この脆弱性を悪用するために送信されるパケットはさまざまなRFCに準拠し、ファイアウォールが攻撃を検出するのを困難にします。

これは単なる例です。 Ripple20の脆弱性の完全なリストとその説明は、JSOFのWebサイトにあります。

IoT / OTネットワークでのRipple20の検出

JSOFは、多くのベンダーが開発するシステムにTreck TCP / IPプロトコルスタックのすべてまたは一部を統合しているため、数十億のデバイスがRipple20の脆弱性の影響を受ける可能性があると推定しています。影響を受けるベンダーのリストは、CISA ICS-CERTによって確立されており、ここで見つけることができます。

影響を受けるベンダーの詳細とリストは引き続き明らかになっていますが、これらの脆弱性を特定して保護するために実行できるいくつかの手順があります。

ベンダーが影響を受ける製品を特定するためのセキュリティアドバイザリを公開しているため、シスコは引き続きCyber​​ Visionナレッジベースを更新して、影響を受ける資産を特定できるようにします。 Cisco Cyber​​ Visionは、IoT / OTデバイスに対する攻撃を検出するために特別に設計されたソリューションです。産業用ネットワークの細部を自動的に明らかにし、Ripple20などの既知の脆弱性を強調する包括的な資産インベントリを構築します。

Cyber​​ Visionナレッジベースは頻繁に更新され、Cyber​​Visionのすべてのお客様が無料で利用できます。まだインストールしていない場合は、ここからダウンロードして、最新バージョンを今すぐインストールすることをお勧めします。

Ripple20の脆弱性の性質、および影響を受けるデバイスの種類により、脆弱なアセットにパッチを適用できない場合があります。または、一部のアセットが脆弱であることを知らない場合があります。保護を維持するために、いくつかの代替手段を講じることができます。

すぐに身を守る方法

短期的には、侵入検知システム（IDS）を活用して、これらの脆弱性を悪用しようとする試みを検出して警告することができます。 Cisco Cyber​​ Visionは、Cisco Talosによって開発されたルールを活用して、SNORTIDSエンジンで設定できます。 Cisco Industrial Security Appliance ISA3000は、同じIDSに加えて、これらの動作をブロックする機能などをすべて、保護している産業用デバイスと一緒に展開できる堅牢なフォームファクタで提供します。

ISA3000は、産業用ネットワークをセグメント化し、相互に通信する必要のない資産を分離するのにも最適です。これにより、潜在的な攻撃を封じ込めることができ、ネットワーク全体に広がることはありません。

JSOFは、ISA3000でも実装できる他の多くの修復に関する推奨事項を提供しています。これには、IPフラグメントのブロック、IPトンネリングでのIPのブロック、不正な形式のTCPパケットの拒否、未使用のICMPメッセージのブロック、DHCPトラフィックの制限、環境内の予期しない不要な通信とプロトコルの制限が含まれます。

シスコが産業用ネットワークの保護にどのように役立つかについて詳しくは、IoTセキュリティハブにアクセスするか、産業用IoTセキュリティの課題についてお問い合わせください。