Ripple20漏洞曝光：数据中心基础设施安全威胁如影随行

Globaldc

长久以来，我们一旦谈到数据中心安全，往往局限于讨论网络、服务器等IT设备安全，而常常忽略了隐藏在数据中心物理基础设施中的安全风险。其实，数据中心运行所必需的电源和冷却系统，也可能是网络攻击者的目标，被网络黑客劫持与勒索，或者被窃取重要数据和文件。
2020年6月16日，一家专门从事物联网和嵌入式设备安全的JSOF公司警告说，由于严重安全漏洞影响了Treck TCP/IP协议堆栈，全球数亿台物联网设备可能会受到远程攻击。这一漏洞影响各行各业，截至目前已经确认来自多个供应商的产品易受攻击，包括UPS系统、输液泵、网络设备、IP摄像机、视频会议系统、楼宇自动化设备和ICS设备等。因为供应链因素，这些漏洞的破坏性影响被放大，就像“涟漪效应”一样，又因为是在2020年报道出来的，所以将这一系列漏洞统称为“Ripple20”漏洞。
一、Ripple20漏洞会有什么安全威胁？
Treck TCP/IP是一家总部位于美国辛辛那提的软件公司“Treck”在1997年推出的一套专用于嵌入式系统的TCP/IP底层Internet协议套件库，可以很容易地集成到各种各样的嵌入式产品中。二十多年来，全球很多公司一直在使用这个库，使他们的设备或软件通过TCP/IP协议连接到互联网。而JSOF公司研究人员发现，在Treck TCP/IP协议栈6.0.1.66之前的版本中存在缓冲区错误漏洞，一共发现存在19个0day漏洞。非法攻击者可以利用该漏洞引发缓冲区溢出或堆溢出等，进而实现对设备的远程控制与非法操作。
在数据中心行业，为了应对这一安全威胁，我们建议采取以下措施：

• 全面排查电源与冷却系统的设备是否使用Treck TCP/IP协议，并及时升级到最新版本；如有必要，联系设备供应商获取相关技术支持。
• 如果部分设备无法升级到最新版本上，则最小化这些设备的网络暴露，仅启用安全的远程访问方法，隔离在防火墙之后，并将其与业务网络隔离。
• 通过深度数据包检查来阻止网络攻击，以降低启用Treck TCP/IP堆栈的风险。
  
  

二、Ripple20漏洞带来哪些安全警示？
通过本次安全事件，我们建议数据中心从业者需要开始重视基础设施的安全性，在设备选型、网络配置等关注安全攻击的可能性，提高电源与制冷系统的安全性。
随着业务需求的变化与物联网技术的发展，数据中心基础设施正在逐步实现联网化。如今，几乎任何设备可以使用IP地址，数据中心基础设施也不例外；它可以让数据中心托管服务商对暖通空调、监控摄像机和电源管理等数据中心基础设施的支持更加便捷。而同时，数据中心的客户部署了机架，通常会要求可以远程访问rPDU，因为一旦服务器发生故障，他们可以快速、远程重启他们的rPDU。但是，基础设施安全性常常被忽视，负责基础设施安全的人员经常忙于其他业务而无暇关注，例如对数据中心设备的维护。因此，基础设施已经成为数据中心最大的漏洞之一。
为了保障数据中心基础设施的安全性，我们需要关注以下数点：

• 供应商的安全管理体系。目前，数据中心行业中的不少设备，甚至自动化控制系统，在产品设计环节并没有考虑到安全性；他们经常使用默认密码，并且多年以来都没有修补漏洞和打补丁。因此，在选择设备供应商时，最好可以审视供应商的安全管理体系成熟度，确保供应商有完善的安全漏洞管理体系与安全应急响应机制，有无通过ISO/IEC27001信息安全管理体系认证等。
• 设备的安全防御能力。在产品的设计、开发与交付等环节中，设备均需要考虑如何防御常见的安全威胁，例如关闭多余的远程控制接口、对敏感数据的传输与存储进行加密、出厂之前进行全面的病毒与漏洞扫描等。为了防止软件被非法篡改而植入木马，建议设备最好内置安全芯片，对软件版本进行可信根验证。在设备采购之前，最好可以要求设备供应商可以提供此设备相关的产品安全证明文件。
  
  
  定期全面排查安全风险。从人员与组织上明确基础设施的安全责任人及其职责，全面了解与和掌握数据中心中的所有联网设备配置情况，采取网络分段策略来隔离不同业务之间的网络，避免不必要的网络暴露。此外，最好可以与设备供应商建立起良好的安全沟通机制，及时升级设备软件到最新版本，快速修复安全漏洞。