Уязвимая библиотека TCP/IP за 20 лет обрела прописку в миллионах устройств IoT

Специалисты из JSOF, небольшой компании-консультанта по кибербезопасности, расположенной в Иерусалиме (Израиль), обнаружили 19 уязвимостей — в совокупности именуемых Ripple20 — в небольшой библиотеке, выпущенной в 1997 году софтверной фирмой Treck из Цинциннати (штат Огайо).

За прошедшие с тех пор более двух десятков лет эта библиотека, содержащая облегченный стек TCP/IP для подключения маломощной техники к Интернету, была интегрирована в «сотни миллионов» промышленных и потребительских продуктов. Список уязвимого оборудования включает устройства умного дома, медицинские системы жизнеобеспечения, производственную технику, принтеры, маршрутизаторы, авионику, различные решения уровня предприятия и многое другое.

JSOF с группами реагирования на компьютерные инциденты (CERT) в разных странах проделали большую работу по координации процесса выявления и исправления уязвимостей. В понедельник Treck сообщила о готовности патчей для всех уязвимостей Ripple20.

Тем не менее, эксперты опасаются, что продукты, использующие эту библиотеку, в большинстве своём останутся уязвимыми из-за сложных или неотслеживаемых цепочек поставок компонентов их программного обеспечения. Они указали, что многие компании вообще не знают о том, что у них применяется этот код, и название уязвимой библиотеки не фигурирует в их кодовых манифестах.

Не все 19 уязвимостей Ripple20 опасны, однако в вышедшем вчера бюллетене Министерство внутренней безопасности США присвоило четырём из них рейтинги 10 и 9,8 по 10-балльной шкале серьезности уязвимостей CVSSv3.

Эти четыре уязвимости позволяют преступникам легко брать под контроль интеллектуальные устройства, любое промышленное или медицинское оборудование. Атаки возможны через Интернет или из локальных сетей, например, через взломанный маршрутизатор. Установка патчей от этих четырёх проблем, таким образом, является приоритетной задачей для любой компании.