Ripple20: уязвимости в миллионах IoT-устройств

Израильские эксперты утверждают, что сотни миллионов IoT-устройcтв имеют критические уязвимости. И это по самым скромным оценкам.

Эксперты из израильской компании JSOF обнаружили 19 уязвимостей нулевого дня, затрагивающих сотни миллионов устройств Интернета вещей. Некоторые из этих уязвимостей — критические. Самое печальное в том, что часть устройств никогда не получит обновлений. Все уязвимости нашлись в библиотеке TCP/IP, которую уже более 20 лет разрабатывает компания Treck Inc. Исследователи назвали эту коллекцию Ripple20.

Почему это касается вас?

Возможно, вы никогда не слышали ни о компании Treck Inc., ни о ее TCP/IP-библиотеке. Тем не менее, с учетом количества затронутых устройств и вендоров, вполне вероятно, что последняя используется в вашей корпоративной сети. Библиотеку часто применяют в различных IoT-решениях, и в результате среди затронутых IoT-устройств можно найти что угодно — от бытовых и офисных принтеров до промышленных и медицинских устройств.

Творение Treck Inc.  — это низкоуровневая библиотека, позволяющая устройствам взаимодействовать с Интернетом. За 20 лет, прошедшие с релиза первой версии, ее использовало множество компаний — в большинстве случаев проще взять уже готовое чужое решение, чем разрабатывать свое. Некоторые применяли ее без изменений, остальные дорабатывали под свои нужды или встраивали в другие библиотеки.

Более того, когда исследователи искали компании, затронутые Ripple20, они обнаружили несколько случаев, когда оригинальный покупатель библиотеки менял название компании либо оказывался поглощен другой компанией. Так что оценить, сколько разработчиков на самом деле используют эту библиотеку, не так-то просто. «Сотни миллионов устройств» — это грубая предварительная оценка. Возможно, по факту счет идет на миллиарды.

Эта достаточно сложная цепочка поставок также является и причиной того, что в некоторых устройствах уязвимости не будут закрыты никогда.

Что за уязвимости и чем они опасны

Исследователи пока обнародовали не все технические подробности — они планируют сделать это на конференции Black Hat в конце лета. Но как минимум четыре из уязвимостей считаются критическими и имеют рейтинг больше 9 баллов по шкале CVSS.

Еще четыре уязвимости отсутствуют в актуальной версии библиотеки, но есть в предыдущих, которые все еще используются в устройствах, — библиотека обновлялась не ради безопасности, и многие вендоры для надежности применяли старые, но работающие варианты.

По словам исследователей из JSOF, некоторые из этих уязвимостей позволяют злоумышленникам полностью перехватить контроль над устройством и использовать его, чтобы похищать данные с принтеров или менять поведение аппаратов, годами оставаясь незамеченными. Две критические дыры допускают удаленное исполнение произвольного кода. Перечень уязвимостей и видео с демонстрацией доступны на сайте исследователей.

Что с этим всем делать?

Компаниям, которые применяют TCP/IP-библиотеку Treck Inc., исследователи рекомендуют связаться с разработчиками и обновить ПО до последней версии, а если это невозможно, то отключить в устройствах соответствующие функции. Что касается компаний, которые могут использовать уязвимые устройства в повседневной работе, то им, вероятно, придется приложить немало усилий. Для начала — определить, присутствуют ли в их оборудовании уязвимости. А это может быть непросто — возможно, придется пользоваться помощью региональных центров CERT или вендоров. Кроме того, им рекомендуется следующее:

  • Обновить прошивки всех устройств. Это вообще полезно делать постоянно, независимо от новых уязвимостей.
  • Свести к минимуму доступ критических IoT-устройств в Интернет.
  • Отделить офисную сеть от сети, в которой используются такие устройства. Еще один «вечнозеленый» совет: разграничивать такие сети стоит вне зависимости от того, какие там уязвимости обнаружили исследователи.
  • Настроить в сети с IoT-устройствами DNS-прокси.

Со своей стороны, можем порекомендовать использовать надежные решения, позволяющие выявить аномальную активность внутри вашей корпоративной сети. Такие, например, как Kaspersky Threat Management and Defense.

Советы