CVE-2020-10136 – Problemi per Cisco , Hp e altri , e non piccoli!

Nexus Switch & Denial of Service

CVE-2020-10136 – Diversi prodotti che implementano l’incapsulamento IP all’interno dello standard IP (RFC 2003, STD 1) decapsulano e instradano il traffico IP-in-IP senza alcuna convalida,potrebbero consentire a un aggressore remoto non autenticato di instradare il traffico arbitrario attraverso un’interfaccia di rete esposta e portare a spoofing, accesso e completo controllo in bypasse altri comportamenti di rete inaspettati.

L’incapsulamento IP-in-IP è un protocollo di tunneling specificato in RFC 2003 che permette di incapsulare i pacchetti IP all’interno di un altro pacchetto IP. Questo è molto simile alle VPN IPSEC in modalità tunnel, tranne nel caso di IP-in-IP, il traffico non criptato.

Come specificato, il protocollo scompone il pacchetto IP interno e lo inoltra attraverso le tabelle di routing IP, fornendo potenzialmente un accesso inatteso ai percorsi di rete disponibili per il dispositivo vulnerabile.

Un dispositivo IP-in-IP è considerato vulnerabile se accetta pacchetti IP-in-IP da qualsiasi sorgente a qualsiasi destinazione senza una configurazione esplicita tra l’indirizzo IP sorgente e quello di destinazione specificati. Questo errore non previsto di elaborazione dei dati (CWE-19) da parte di un dispositivo “vulnerabile” può essere utilizzato in modo improprio per eseguire DDoS “riflettenti” e in alcuni scenari utilizzati per bypassare le liste di controllo dell’accesso alla rete.

Poiché il pacchetto di rete inoltrato non può essere ispezionato o verificato da dispositivi soggetti a questa vulnerabilità , ci sono probabilmente altri comportamenti inaspettati che possono essere sfruttati da un aggressore sul dispositivo di destinazione o sull’ambiente di rete del dispositivo di destinazione.



Per farvi capire quanto sia semplice sfruttarlo!

La vulnerabilità è stata segnalata il 06/02/2020 come confermato advisory (CERT.org). La segnalazione è condivisa per il download su kb.cert.org. Questa vulnerabilità è gestita come CVE-2020-10136 dal 03/05/2020. Lo sfruttamento è considerato facile. L’attacco può essere lanciato a distanza. Per lo sfruttamento non è richiesta alcuna forma di autenticazione.  Il prezzo attuale di un exploit potrebbe essere di circa USD $0-$5k (stima calcolata al 06/03/2020).

 

CVE-2020-10136
CVE-2020-10136

 

Soluzione da CERT/CC

Applicare gli aggiornamenti
Il CERT/CC raccomanda di applicare l’ultima patch fornita dal fornitore interessato che dovrebbe risolvere questo problema. Esaminare le informazioni fornite dal fornitore o contattare il proprio fornitore  per ottenere consigli specifici di mitigazione. Se un dispositivo è in grado di disattivare IP-in-IP nella sua configurazione, si consiglia di disattivare IP-in-IP in tutte le interfacce che non richiedono questa funzione.

I produttori di dispositivi sono invitati a disabilitare IP-in-IP nella loro configurazione di base. Inoltre, di  richiedere ai loro clienti di configurare esplicitamente IP-in-IP come e quando necessario.

Detection Signature (IDS)

Questa regola di Snort IDS cerca qualsiasi traffico IP-in-IP, sia esso intenzionale o non visto sul percorso di rete a monte di un dispositivo vulnerabile. Questa regola di Snort o Suricata può essere modificata per applicare filtri che ignorano le fonti e le destinazioni consentite dalla policy per instradare il traffico IP-in-IP.

alert ip any any -> any any (msg: “IP-in-IP Tunneling VU#636397 https://kb.cert.org”; ip_proto:4; sid: 1367636397; rev:1;)

Attenzione per HP : CVE-2020-10136 – Al momento non è disponibile alcuna dichiarazione da parte del fornitore in merito a questa vulnerabilità (03/06/2020).



Cisco

Notified:  2020-03-26  Updated: 2020-06-03

CVE-2020-10136 Affected

Vendor Statement

Please visit Cisco public advisory https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ipip-dos-kCT9X4

References

CERT Addendum

There are no additional comments at this time.

HP

Updated: 2020-06-03

CVE-2020-10136 Affected

Vendor Statement

No statement is currently available from the vendor regarding this vulnerability.

CERT Addendum

According to the reporter for this vulnerability, Samsung X3220NR printers with firmware versions V3.00.09 through V3.00.11 are vulnerable.

 

Treck

Updated: 2020-06-03

CVE-2020-10136 Affected

Vendor Statement

In release 6.0.1.49, per RFC4213, Treck removed automatic tunneling and use of IPv4-compatible addresses, and removed default Configured Tunnel using IPv4 “Anycast Address”

CERT Addendum

Please update your Treck embedded TCP/IP software to the version 6.0.1.66 or later to prevent unexpected tunneling behavior in your TCP/IP stack.