Рекомендуем почитать:
Специалисты израильской компании JSOF обнаружили 19 уязвимостей в небольшой библиотеке, которая была создана еще 90-х годах и все это время активно использовалась во множестве различных продуктов.
В итоге под угрозой оказались сотни миллионов устройств, включая принтеры, маршрутизаторы, различные решения для «умного» дома, электросетевое, медицинское и промышленное оборудование, транспортные системы, оборудование для мобильной и спутниковой связи, дата-центры и многое, многое другое.
Хуже того, уязвимости в большинстве продуктов вряд ли будут когда-либо исправлены из-за сложных или непрозрачных цепочек поставок ПО. Дело в том, что проблемная библиотека использовалась не только поставщиками оборудования, но также интегрировалась в другие программные пакеты, а значит, многие компании даже не знают, что используют этот конкретный код, так как библиотека часто вообще не упоминается в манифестах.
Найденные экспертами проблемы получили общее название Ripple20 и были обнаружены в небольшой библиотеке, разработанной компанией Treck. Выпущенная еще в 1997 году эта библиотека представляет собой облегченную имплементацию стека TCP/IP. Компании десятилетиями использовали это решение, чтобы их устройства или софт могли подключаться к интернету через TCP/IP.
Эксперты JSOF решили изучить стек Treck из-за его массового присутствия на рынке промышленных, медицинских и «умных» устройств. В итоге, как было сказано выше, были обнаружены 19 различных уязвимостей, над исправлением которых JSOF уже много месяцев работает вместе с представителями CERT.
Представители Trek, сначала решившие, что имеют дело с мошенниками и вымогательством, осознали свою ошибку и тоже подключились к делу. К настоящему моменту исправления доступны для всех уязвимостей Ripple20. Но, увы, аналитики JSOF пишут, что работа по выявлению всех уязвимых устройств еще далека от завершения.
К счастью, не все уязвимости Ripple20 являются критическими, хотя некоторые из них все же весьма опасны и позволяют злоумышленникам удаленно захватывать контроль над уязвимыми системами. Так, Министерство внутренней безопасности США присвоило рейтинг 10 и 9,8 по десятибалльной шкале CVSSv3 четырем из уязвимостей Ripple 20:
Четыре эти проблемы могут позволить злоумышленникам легко захватить контроль над «умными» устройствами или промышленным и медицинским оборудованием. Атаки возможны как через интернет, так и из локальных сетей. Демонстрацию атаки можно увидеть в ролике ниже.
Исследователи полагают, что грядущее влияние проблем Ripple20 можно сравнить с другим «набором» уязвимостей, Urgent/11, информация о которых была обнародована летом 2019 года. Те проблемы до сих пор изучаются, и эксперты постоянно обнаруживают все новые проблемные устройства.
Это сравнение неслучайно, так как уязвимости Urgent/11 касаются работы стека TCP/IP (IPnet), который используется в операционной системе реального времени (RTOS) VxWorks, а также OSE от ENEA, INTEGRITY от Green Hills, Microsoft ThreadX, ITRON от TRON Forum, Mentor Nucleus RTOS и ZebOS.
Как и в случае с Urgent/11, некоторые продукты явно останутся без исправлений для Ripple20, так как многие из них уже устарели, а вендоры прекратили работу.
Собственные отчеты о багах Ripple20 также опубликовали US-CERT, CERT/CC и компания Treck. Рекомендации по смягчению проблем уже доступны на GitHub.
Читайте также
Последние новости