Ripple20: уязвимости в миллионах IoT-устройств

[KL FC Bot 157]

Эксперты из израильской компании JSOF обнаружили 19 уязвимостей нулевого дня, затрагивающих сотни миллионов устройств Интернета вещей. Некоторые из этих уязвимостей — критические. Самое печальное в том, что часть устройств никогда не получит обновлений. Все уязвимости нашлись в библиотеке TCP/IP, которую уже более 20 лет разрабатывает компания Treck Inc. Исследователи назвали эту коллекцию Ripple20.

Почему это касается вас?

Возможно, вы никогда не слышали ни о компании Treck Inc., ни о ее TCP/IP-библиотеке. Тем не менее, с учетом количества затронутых устройств и вендоров, вполне вероятно, что последняя используется в вашей корпоративной сети. Библиотеку часто применяют в различных IoT-решениях, и в результате среди затронутых IoT-устройств можно найти что угодно — от бытовых и офисных принтеров до промышленных и медицинских устройств.

Творение Treck Inc.  — это низкоуровневая библиотека, позволяющая устройствам взаимодействовать с Интернетом. За 20 лет, прошедшие с релиза первой версии, ее использовало множество компаний — в большинстве случаев проще взять уже готовое чужое решение, чем разрабатывать свое. Некоторые применяли ее без изменений, остальные дорабатывали под свои нужды или встраивали в другие библиотеки.

Более того, когда исследователи искали компании, затронутые Ripple20, они обнаружили несколько случаев, когда оригинальный покупатель библиотеки менял название компании либо оказывался поглощен другой компанией. Так что оценить, сколько разработчиков на самом деле используют эту библиотеку, не так-то просто. «Сотни миллионов устройств» — это грубая предварительная оценка. Возможно, по факту счет идет на миллиарды.

Эта достаточно сложная цепочка поставок также является и причиной того, что в некоторых устройствах уязвимости не будут закрыты никогда.

 

View the full article