尊敬的合作伙伴及客户，你们好，我司在获悉“Ripple20”漏洞情况后，对此事高度重视，并对我司的产品进行分析排查。现已确定我司的生产的下一代防火墙产品NF系列并没有使用Treck公司产生“Ripple20”漏洞的组件，因此该漏洞对我们所生产的产品均无影响，请放心使用。

Ripple20漏洞简介

Treck在1997年推出了一个小型库，在过去二十多年中被广泛使用，并集成到无数企业级和消费级产品中。日前，以色列网络安全公司JSOF披露存在于Treck TCP/IP堆栈中的19个漏洞，统称为的“Ripple20”。美国国土安全局、CISA ICS-CERT发布通告称这些漏洞将席卷全球物联网和工业互联网，国家基础设施安全将受到重大影响，全球数亿台（甚至更多）IoT设备将会受到远程攻击。

相关CVE

“Ripple20”一共发现19个漏洞，其中存在4个高危漏洞。两个漏洞被通用漏洞评分系统（CVSS）评为10级，CVE-2020-11896可能导致远程执行代码，CVE-2020-11897可能导致越界写入。而CVE-2020-11898 CVSS评分为9.1，可能导致泄露敏感信息；CVE-2020-11901 CVSS评分为9，可能导致远程执行代码。其他15个漏洞的严重程度不同，CVSS评分从3.1到8.2，影响范围从拒绝服务到潜在的远程执行代码。

Ripple20漏洞危害

“Ripple20”所有漏洞都是Treck协议栈在使用不同协议（包括IPv4、ICMPv4、IPv6、IPv6OverIPv4等）在网络上发送数据包时的处理错误，导致内存损坏。

Ripple20漏洞可以被攻击者用于远程代码执行、拒绝服务（DoS）攻击和获取用户的潜在敏感信息。由于Ripple20漏洞位于底层TCP/IP堆栈中，对于其中的某些漏洞而言，漏洞使攻击者发送的数据包与有效数据包非常相似，或者在某些情况下是完全有效的数据包，这样可以使攻击作为合法流量绕过NAT和防火墙并控制内网未检测到的设备，而无需用户交互。

虽然，Treck已经发布了补丁，可以使用最新的Treck堆栈版本（6.0.1.67或更高版本）。但JSOF分析师称：“尽管最好的方法是安装原始的Treck补丁，但在许多情况下无法安装原始补丁”。之所以将这19个漏洞命名为“Ripple20”，并不是因为它们一开始就是20个漏洞，而是因为它们将在2020年以及未来几年在物联网领域引起的涟漪效应。