Ripple20漏洞曝光:全球數億物聯網設備受到影響

?物聯網技術 ????|???? ?2020-06-17 ????|???? 作者:萬博智能科技有限公司
總部位于辛辛那提(Cincinnati)的軟件公司 Treck 在 1997 年推出了一個小型庫,在過去二十多年中被廣泛使用,并集成到無數企業級和消費級產品中。不過今天,網絡安全專家披露了存在于該小型庫中的 19 個漏洞,統稱為 Ripple20。
 
預估有“數億”臺設備受到影響,涵蓋智能家居設備、電網設備、醫療系統、工業裝備、運輸系統、打印機、路由器、移動/衛星通信設備、數據中心設備、商用飛機設備、各種企業解決方案等產品。
 
而且安全專家還擔心,由于軟件供應鏈復雜或未被跟蹤,所有使用該庫的產品極有可能仍未打上補丁。導致問題如此嚴重的原因是,這個小型庫不僅被設備廠商直接使用,而且還被集成到其他軟件套件中。這意味著許多公司甚至不知道他們正在使用這段特殊的代碼,而且這個存在漏洞的庫名甚至不會出現在它們的代碼 manifests 中。
 
該庫能夠實現一個輕量級TCP/IP協議棧。幾十年來,很多公司一直在使用這個庫,以允許他們的設備或軟件通過TCP/IP連接連接到互聯網。
 
2019年9月,來自以色列耶路撒冷的網絡安全咨詢公司 JSOF 研究人員 披露了 Treck TCP/IP協議棧的問題。JSOF 團隊一直與不同國家的CERT(計算機應急小組)合作,協調漏洞披露和修補過程。
 
上周在接受外媒 ZDNet 采訪的時候,本次活動涉及到很多方面,比如讓Treck加入,確保Treck按時打好補丁,然后找到所有易受影響的設備,并聯系到每個受影響的供應商。
 
JSOF的首席執行官Shlomi Oberman告訴ZDNet,努力是成功的。Oberman稱贊CERT/CC在與所有受影響的供應商協調漏洞披露過程中發揮了重要作用。
 
Oberman表示雖然 Treck 剛開始并不承認,但現在已經積極行動起來,為所有Ripple20漏洞提供補丁。
 
但JSOF表示,識別所有易損設備的工作尚未完成。研究人員表示,他們將這19個漏洞命名為Ripple20,并不是因為它們一開始就是20個漏洞,而是因為它們將在2020年以及未來幾年在物聯網領域引起的漣漪效應。