自2020年6月16日得知以色列网络安全公司JSOF公开的TCP/IP软件协议中发现了19个zero-day漏洞,这些漏洞存在于Treck公司开发广泛使用的低级TCP/IP软件协议中,这一系列漏洞统称为“Ripple20”。全球数亿台(甚至更多)IoT设备可能会受到远程攻击,Ripple20影响多供应商的关键物联网设备,受影响的供应商范围非常广。
其中包括四个严重漏洞:有两个漏洞CVSS评分10分,CVE-2020-11896可能导致远程执行代码,CVE-2020-11897可能导致越界写入。其他两个漏洞的CVSS评分分别为9和9.1,CVE-2020-11901可能导致远程执行代码,CVE-2020-11898可能导致泄露敏感信息。而其他15个漏洞的严重程度不同,CVSS评分从3.1到8.2。
报告
- JSOF Research Lab ::Ripple20 Disclousure Website :: HERE
- Treck, Inc :: Security Response Website :: HERE
- CERT Coordination CenterAdvisory :: HERE
- ICS-CERT Advisory:: HERE
D-Link非常重视网络安全和用户隐私问题,我们有专门的工作小组和产品管理团队根据自查结果,我司声明,我司产品未使用Treck公司关于“Ripple20”漏洞的组件,因此该漏洞对我司产品均无影响。