Eksperci z izraelskiej firmy JSOF odkryli 19 luk dnia zerowego, z których część ma charakter krytyczny, zagrażających setkom milionów urządzeń Internetu Rzeczy. Niestety niektóre urządzenia nigdy nie otrzymają stosownych aktualizacji. Wszystkie luki wykryto w bibliotece TCP/IP firmy Treck Inc., która tworzy ją od ponad dwudziestu lat. Luki te otrzymały wspólną nazwę Ripple20.
Dlaczego jest to ważne?
Nawet jeśli nigdy nie słyszałeś o firmie Treck ani jej bibliotece TCP/IP, biorąc pod uwagę liczbę urządzeń i producentów, których ta sprawa może dotyczyć, prawdopodobnie w Twojej sieci firmowej też jest takie urządzenie. Biblioteka ta jest obecna na wszelkiej maści rozwiązaniach IoT, co oznacza, że wśród tych urządzeń znajdują się zarówno drukarki domowe i firmowe, jak i sprzęt przemysłowy i medyczny.
Firma Treck utworzyła niskopoziomową bibliotekę, która umożliwia urządzeniom reagowanie za pośrednictwem internetu. Na przestrzeni ostatnich 20 lat skorzystało z niej wiele firm — w przypadku większości z nich łatwiej było skorzystać z gotowej biblioteki, zamiast tworzyć własną. Część użyła jej w oryginale; inne poddały ją modyfikacji, aby dopasować do swoich potrzeb lub osadzić w innych bibliotekach.
Co więcej, szukając firm, którym może zagrażać Ripple20, badacze odkryli kilka przypadków, w których nabywca biblioteki zmienił jej nazwę; czasami została ona przejęta od innej firmy. W związku z tym oszacowanie rzeczywistej liczby urządzeń, które używają tej biblioteki, nie jest takie proste. „Setki milionów” to zaledwie wstępne szacunki. A mogą to być nawet miliardy.
Ten dość skomplikowany łańcuch dostaw sprawia także, że niektóre urządzenia nigdy nie otrzymają łat.
Co to są za luki i w jaki sposób stwarzają zagrożenie?
Pod nazwą Ripple20 kryje się łącznie 19 luk o różnym stopniu zagrożenia. Badacze nie udostępnili jeszcze szczegółów technicznych, jednak planują zrobić to podczas konferencji Black Hat, która odbędzie się pod koniec lata. Wiadomo jednak, że co najmniej cztery luki są uważane za krytyczne z uwagi na to, że w systemie CVSS otrzymały one ocenę powyżej 9.0.
Cztery kolejne luki nieobecne w najnowszej wersji biblioteki pojawiły się w poprzednich iteracjach i nadal są używane w urządzeniach — biblioteka ta została zaktualizowana z innych powodów niż związanych z bezpieczeństwem, a mimo to wielu producentów korzysta ze starszych wersji.
Według badaczy z firmy JSOF część luk umożliwia atakującym — którzy mogą czaić się w ukryciu przez wiele lat — przejęcie całkowitej kontroli nad urządzeniem i użycie go do kradzieży danych z drukarek lub zmiany działania urządzenia. Dwie luki zakwalifikowane jako krytyczne umożliwiają zdalne uruchomienie dowolnego kodu. Lista luk oraz film demonstracyjny są dostępne na stronie badaczy.
Porady
Firmom, które korzystają z biblioteki TCP/IP od firmy Treck, badacze zalecają skontaktowanie się z producentami i zaktualizowanie biblioteki do najnowszej wersji. Jeśli nie jest to możliwe, należy wyłączyć wszystkie podatne funkcje na urządzeniach.
Jeśli chodzi o firmy, które używają zagrożonych urządzeń w pracy codziennej, stoją one przed trudnym zadaniem. Najpierw muszą określić, czy luki te są obecne na wykorzystywanym przez nie sprzęcie. Nie jest to łatwe i może wymagać pomocy ze strony regionalnych centrów CERT lub producentów. Ponadto firmom radzimy, aby:
- Zaktualizowały oprogramowanie układowe na wszystkich urządzeniach (zalecamy to zawsze, bez względu na to, czy zostały wykryte nowe luki).
- Zminimalizowały dostęp do internetu na krytycznych urządzeniach Internetu Rzeczy.
- Oddzieliły sieć firmową od sieci, w których wykorzystywane są takie urządzenia (to zawsze aktualna porada).
- Skonfigurowały proxy DNS w sieciach z urządzeniami Internetu Rzeczy.
Z naszej strony zalecamy używanie niezawodnego rozwiązania zabezpieczającego, które potrafi wykrywać nietypową aktywność w sieci firmowej. Zapewnia to na przykład Kaspersky Threat Management and Defense.