Сотни миллионов IoT-устройств в опасности из-за уязвимостей Ripple20 - «Новости»

Специалисты израильской компании JSOF обнаружили 19 уязвимостей в небольшой библиотеке, которая была создана еще 90-х годах и все это время активно использовалась во множестве различных продуктов.

В итоге под угрозой оказались сотни миллионов устройств, включая принтеры, маршрутизаторы, различные решения для «умного» дома,  электросетевое, медицинское и промышленное оборудование,­ транспортные системы, оборудование для мобильной и спутниковой связи, дата-центры и многое, многое другое.

Хуже того, уязвимости в большинстве продуктов вряд ли будут когда-либо исправлены из-за сложных или непрозрачных цепочек поставок ПО. Дело в том, что проблемная библиотека использовалась не только поставщиками оборудования, но также интегрировалась в другие программные пакеты, а значит, многие компании даже не знают, что используют этот конкретный код, так как библиотека часто вообще не упоминается в манифестах.

Найденные экспертами проблемы получили общее название Ripple20 и были обнаружены в небольшой библиотеке, разработанной компанией Treck. Выпущенная еще в 1997 году эта библиотека представляет собой облегченную имплементацию стека TCP/IP. Компании десятилетиями использовали это решение, чтобы их устройства или софт могли подключаться к интернету через TCP/IP.

Эксперты JSOF решили изучить стек Treck из-за его массового присутствия на рынке промышленных, медицинских и «умных» устройств. В итоге, как было сказано выше, были обнаружены 19 различных уязвимостей, над исправлением которых JSOF уже много месяцев работает вместе с представителями CERT.

Представители Trek, сначала решившие, что имеют дело с мошенниками и вымогательством, осознали свою ошибку и тоже подключились к делу. К настоящему моменту исправления доступны для всех уязвимостей Ripple20. Но, увы, аналитики JSOF пишут, что работа по выявлению всех уязвимых устройств еще далека от завершения.

К счастью, не все уязвимости Ripple20 являются критическими, хотя некоторые из них все же весьма опасны и позволяют злоумышленникам удаленно захватывать контроль над уязвимыми системами. Так, Министерство внутренней безопасности США присвоило рейтинг 10 и 9,8 по десятибалльной шкале CVSSv3 четырем из уязвимостей Ripple 20:

• CVE-2020-11896(CVSSv3 — 10): допускает удаленное выполнение произвольного кода;


• CVE-2020-11897(CVSSv3 — 10): допускает out-of-bounds запись;


• CVE-2020-11898(CVSSv3 — 9,8): может привести к раскрытию конфиденциальной информации;


• CVE-2020-11899(CVSSv3 — 9,8): может привести к раскрытию конфиденциальной информации.

Четыре эти проблемы могут позволить злоумышленникам легко захватить контроль над «умными» устройствами или промышленным и медицинским оборудованием. Атаки возможны как через интернет, так и из локальных сетей. Демонстрацию атаки можно увидеть в ролике ниже.

Исследователи полагают, что грядущее влияние проблем Ripple20 можно сравнить с другим «набором» уязвимостей, Urgent/11, информация о которых была обнародована летом 2019 года.  Те проблемы до сих пор изучаются, и эксперты постоянно обнаруживают все новые проблемные устройства.

Это сравнение неслучайно, так как уязвимости Urgent/11 касаются работы стека TCP/IP (IPnet), который используется в операционной системе реального времени (RTOS) VxWorks, а также OSE от ENEA, INTEGRITY от Green Hills, Microsoft ThreadX, ITRON от TRON Forum, Mentor Nucleus RTOS и ZebOS.

Как и в случае с Urgent/11, некоторые продукты явно останутся без исправлений для Ripple20, так как многие из них уже устарели, а вендоры прекратили работу.

Собственные отчеты о багах Ripple20 также опубликовали US-CERT, CERT/CC и компания Treck. Рекомендации по смягчению проблем уже доступны на GitHub.