نقص جدید در پشته Treck TCP / IP بر میلیون ها دستگاه اینترنت اشیا تأثیر می گذارد

اینترنت اشیاء

آژانس امنیت و زیرساخت امنیت سایبری ایالات متحده (CISA) نسبت به آسیب پذیری های مهم در کتابخانه نرم افزاری سطح پایین TCP / IP که توسط Treck توسعه داده شده هشدار داده است که در صورت مسلح شدن ، به مهاجمان از راه دور امکان اجرای دستورات دلخواه و انکار سرویس را فراهم می کند

این چهار نقص بر روی Treck TCP / IP نسخه 6.0.1.67 و بالاتر تأثیر گذاشته و توسط اینتل به این شرکت گزارش شده است. از نظر شدت دو مورد از این نقص ها حیاتی هستند.

توابع کتابخانه های فشرده TCP / IP توسعه داده شده توسط  Treck در سراسر جهان در سیستم های تولید ، فناوری اطلاعات ، مراقبت های بهداشتی و حمل و نقل هم اکنون مورد استفاده قرار می گیرد.

شدیدترین و خطرناک ترین آنها آسیب پذیری سرریز بافر مبتنی بر heap-based   (CVE-2020-25066) در سرور وب  Treck  است که می تواند به یک دشمن اجازه ریست نمودن و  یا تنظیم مجدد دستگاه مورد نظر را بدهد و حتی کد راه دور را اجرا کند. این آسیب پذیری دارای نمره CVSS 9.8 از حداکثر 10 می باشد.

نقص دوم نوشتن خارج از محدوده در مولفه IPv6 (CVE-2020-27337 ، نمره CVSS 9.1) است که می تواند توسط یک کاربر غیرمجاز مورد سو استفاده قرار گیرد و از طریق دسترسی به شبکه باعث ایجاد وضعیت DoS شود.

دو آسیب پذیری دیگر مربوط به خواندن خارج از محدوده در مولفه IPv6 (CVE-2020-27338 ، نمره CVSS 5.9) است که می تواند توسط یک مهاجم غیرمجاز برای ایجاد انکار سرویس DoS مورد استفاده قرار گیرد و عدم اعتبار سنجی داده های ورودی نامناسب در همان ماژول CVE-2020-27336

که می تواند منجر به خواندن خارج از مرز تا سه بایت از طریق دسترسی به شبکه شود.

Treck به کاربران توصیه می کند تا پک را به نسخه 6.0.1.68 برای رفع نقص به روز کنند. در مواردی که جدیدترین وصله ها قابل استفاده نیستند ، توصیه می شود که قوانین فایروال برای فیلتر کردن بسته هایی که دارای طول محتوای منفی در هدر HTTP هستند ، اجرا شود.

افشای نقص جدید در پشته Treck TCP / IP شش ماه پس از آن کشف شد که شرکت امنیت سایبری JSOF 19 مورد آسیب پذیری را در کتابخانه نرم افزار کشف کرد(با عنوان Ripple20 ) این امر می تواند کنترل کامل دستگاه های اینترنت اشیا را بدون نیاز به تعامل کاربر برای مهاجمان فراهم کند.

لینک خبر

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code