Сотни миллионов IoT-устройств в опасности из-за уязвимостей Ripple20

Специалисты израильской компании JSOF обнаружили 19 уязвимостей в небольшой библиотеке, которая была создана еще 90-х годах и все это время активно использовалась во множестве различных продуктов.

В итоге под угрозой оказались сотни миллионов устройств, включая принтеры, маршрутизаторы, различные решения для «умного» дома,  электросетевое, медицинское и промышленное оборудование,­ транспортные системы, оборудование для мобильной и спутниковой связи, дата-центры и многое, многое другое.

Хуже того, уязвимости в большинстве продуктов вряд ли будут когда-либо исправлены из-за сложных или непрозрачных цепочек поставок ПО. Дело в том, что проблемная библиотека использовалась не только поставщиками оборудования, но также интегрировалась в другие программные пакеты, а значит, многие компании даже не знают, что используют этот конкретный код, так как библиотека часто вообще не упоминается в манифестах.

Найденные экспертами проблемы получили общее название Ripple20 и были обнаружены в небольшой библиотеке, разработанной компанией Treck. Выпущенная еще в 1997 году эта библиотека представляет собой облегченную имплементацию стека TCP/IP. Компании десятилетиями использовали это решение, чтобы их устройства или софт могли подключаться к интернету через TCP/IP.

Эксперты JSOF решили изучить стек Treck из-за его массового присутствия на рынке промышленных, медицинских и «умных» устройств. В итоге, как было сказано выше, были обнаружены 19 различных уязвимостей, над исправлением которых JSOF уже много месяцев работает вместе с представителями CERT.

Представители Trek, сначала решившие, что имеют дело с мошенниками и вымогательством, осознали свою ошибку и тоже подключились к делу. К настоящему моменту исправления доступны для всех уязвимостей Ripple20. Но, увы, аналитики JSOF пишут, что работа по выявлению всех уязвимых устройств еще далека от завершения.

К счастью, не все уязвимости Ripple20 являются критическими, хотя некоторые из них все же весьма опасны и позволяют злоумышленникам удаленно захватывать контроль над уязвимыми системами. Так, Министерство внутренней безопасности США присвоило рейтинг 10 и 9,8 по десятибалльной шкале CVSSv3 четырем из уязвимостей Ripple 20:

  • CVE-2020-11896(CVSSv3 — 10): допускает удаленное выполнение произвольного кода;
  • CVE-2020-11897(CVSSv3 — 10): допускает out-of-bounds запись;
  • CVE-2020-11898(CVSSv3 — 9,8): может привести к раскрытию конфиденциальной информации;
  • CVE-2020-11899(CVSSv3 — 9,8): может привести к раскрытию конфиденциальной информации.

Четыре эти проблемы могут позволить злоумышленникам легко захватить контроль над «умными» устройствами или промышленным и медицинским оборудованием. Атаки возможны как через интернет, так и из локальных сетей. Демонстрацию атаки можно увидеть в ролике ниже.

Исследователи полагают, что грядущее влияние проблем Ripple20 можно сравнить с другим «набором» уязвимостей, Urgent/11, информация о которых была обнародована летом 2019 года.  Те проблемы до сих пор изучаются, и эксперты постоянно обнаруживают все новые проблемные устройства.

Это сравнение неслучайно, так как уязвимости Urgent/11 касаются работы стека TCP/IP (IPnet), который используется в операционной системе реального времени (RTOS) VxWorks, а также OSE от ENEA, INTEGRITY от Green Hills, Microsoft ThreadX, ITRON от TRON Forum, Mentor Nucleus RTOS и ZebOS.

Как и в случае с Urgent/11, некоторые продукты явно останутся без исправлений для Ripple20, так как многие из них уже устарели, а вендоры прекратили работу.

Собственные отчеты о багах Ripple20 также опубликовали US-CERT, CERT/CC и компания Treck. Рекомендации по смягчению проблем уже доступны на GitHub.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (5)

  • Я считаю, что, если устройство не супер-умное, ему вообще не зачем подключаться к Интернету напрямую, можно через компьютер. Но, возможно, когда-то давно, когда атаки на устройства были не так распространены, возможность прямого подключения казалась вполне рациональным решением, и была им. Что ж, ладно.
    А теперь вопрос на миллион. Учитывая вездесущее т.н. запланированное устаревание, при котором простые люди, пренебрежительно называемые потребителями, вынуждены постоянно покупать всё более технологичные устройства из-за их морального устаревания, в т.ч. искуственно поддерживаемого, или просто из-за слишком быстрого выхода из строя (пример - лампы накаливания), почему большие дяди не должны своевременно заменять используемую ими технику на более современную?

    • Спросишь почему? Не выгодно и все. Больше поломок, больше прибыли. Если-Б не масоны) то уже летали бы на машинах или телепортировались, ну или порталы освоили.

      • Ну так-то да, но вопрос - почему НЕ ДОЛЖНЫ, это вопрос нравственности, морали, а в идеальной версии нашего мира он мог бы быть даже политическим вопросом. А так - ну раз якобы не должны, когда на самом деле должны, то и хрен с ними (ИМХО) )

        • Хотя не хотелось бы, конечно, чтобы обычные люди страдали, но им итак постоянно приходится страдать как бы =/ так что в этом плане этот сабж такой же как все остальные...

  • Что-то я не понял, уязвимая библиотека с открытым исходным кодом или нет?

Похожие материалы