미국 CISA(Cybersecurity Infrastructure and Security Agency)는 Treck가 개발한 Low Level TCP/IP 소프트웨어 라이브러리에서 원격 공격자에 의해 라이브러리가 무기화될 경우, 임의 명령을 실행하고 서비스 거부(DoS) 공격을 마운트할 수 있다고 경고했다.
이 네 가지 결함은 Treck TCP/IP 스택 버전 6.0.1.67 이하에 영향을 미치며 Intel에 의해 회사에 보고되었다. 이 중 두 가지는 매우 심각한 것으로 평가된다.
Treck의 임베디드 TCP/IP 스택은 제조, 정보 기술, 의료 및 운송 시스템에 전 세계적으로 배포된다.
그중 가장 심각한 것은 9.8점의 CVSS 점수를 가진 Track HTTP Server 구성 요소의 힙 기반 버퍼 오버플로 취약성(CVE-2020-25066)이며, 이를 통해 공격자가 대상 장치를 손상하거나 재설정하고 심지어 원격 코드를 실행할 수 있다.
두 번째 결함은 IPv6 구성 요소(CVE-2020-27337, CVSS 점수 9.1)의 Out-Of-Bounds Write이며, 인증되지 않은 사용자가 네트워크 액세스를 통해 DoS 상태를 발생시킬 수 있다.
다른 두 가지 취약성은 IPv6 구성 요소(CVE-2020-27338, CVSS 점수 5.9)에서 읽히는 범위 밖의 취약성으로, 인증되지 않은 공격자가 동일한 모듈에서 DoS를 및 부적절한 입력 유효성 검사(CVE-2020-27336, CVSS 점수 3.7)를 유발하여 네트워크 액세스를 통해 최대 3Byte의 Out-Of-Bounds Read가 발생할 수 있다.
이 결함을 해결하려면 스택을 버전 6.0.1.68로 업데이트하는 것이 좋다. 최신 패치를 적용할 수 없는 경우 HTTP 헤더에 negative content-length가 포함된 패킷을 필터링하기 위해 방화벽 규칙을 구현하는 것이 좋다.
Treck TCP/IP 스택의 새로운 결함은 이스라엘 사이버 보안 회사인 JSOF가 소프트웨어 라이브러리에서 19개의 취약점(Ripple20)을 발견한 지 6개월 만에 공개됨으로써 공격자는 사용자 개입 없이 대상 IoT 기기를 완전히 제어할 수 있게 되었다.
더욱이, 이번 달 초 Forecout 연구원들이 발견한 총 33개의 취약점(총칭 AMNESIA:33)은 오픈 소스 TCP/IP 프로토콜 스택에 영향을 미치며, 이러한 취약점들이 악의적인 행위자가 취약한 시스템을 차지하기 위해 악용될 수 있다는 것을 밝혀냈다.
복잡한 IoT 공급망을 감안하여, 이 회사는 대상 네트워크 장치가 실험실 환경에서 취약한 TCP/IP 스택을 실행하는지 여부를 확인할 수 있는 "project-memoria-detector"라는 새로운 탐지 도구를 출시하였다.
https://github.com/Forescout/project-memoria-detector에서 GitHub을 통해 도구를 볼 수 있다.
출처
https://thehackernews.com/2020/12/new-critical-flaws-in-treck-tcpip-stack.html
