Министерство внутренней безопасности США и CISA ICS-CERT сегодня выпустили предупреждение по безопасности о более чем дюжине недавно обнаруженных уязвимостей, затрагивающих миллиарды подключенных к Интернету устройств, более чем 500 производителей по всему миру.
Пакет «Ripple20» состоит из 19 уязвимостей в низкоуровневой библиотеке TCP/ IP, разработанной компанией «Treck». Эксплуатация этих уязвимостей может позволить злоумышленникам получить полный контроль над целевыми устройствами без необходимости какого-либо взаимодействия с пользователем.
По словам израильской компании по кибербезопасности «JSOF», обнаружившей эти уязвимости, затронутые устройства используются в различных отраслях: от бытовых устройств до медицины, здравоохранения, центров обработки данных, корпоративной среды, телекоммуникаций, нефти, газа, ядерной энергетики, транспорта и многих других включая объекты критической инфраструктуры.
«Несколько примеров: данные могут быть украдены с принтера, изменено поведение инфузионного насоса или могут быть приведены в нерабочее состояние промышленные управляющие устройства. Злоумышленник может скрывать вредоносный код во встроенных устройствах в течение многих лет», - говорится в отчете исследователей.
«С помощью одной из уязвимостей, возможно проникнуть за внешний периметр безопасности сети, и это лишь малая часть потенциальных рисков».
В библиотеке «Treck» четыре критических уязвимости с оценкой более 9 по шкале CVSS. С их помощью злоумышленники могут удаленно выполнить произвольный код на целевых устройствах, а одна критическая ошибка влияет на протокол DNS.
Затронутые отрасли
«Остальные 15 уязвимостей имеют оценку 3,1 до 8,2 по CVSS, последствия их эксплуатации варьируются от отказа в обслуживании до возможного удаленного выполнения кода», - говорится в отчете.
Некоторые уязвимости из «Ripple20» были исправлены компанией «Treck» или производителями устройств, с помощью патчей или внедрения дополнительных возможностей конфигурирования библиотеки «Stack». В то же время, большинство, судя по всему, не будут исправлены в ближайшее время из-за необходимости производителям произвести серьезную переоценку рисков.
-
CVE-2020-11896 (базовая оценка CVSS v3 10.0): неправильная обработка несоответствия параметра длины в компоненте UDP/IPv4 при обработке пакета, отправленного неавторизованным злоумышленником. Эта уязвимость может использоваться для удаленного выполнения кода.
-
CVE-2020-11897 (базовая оценка CVSS v3 10.0): неправильная обработка несоответствия параметра длины в компоненте IPv6 при обработке пакета, отправленного неавторизованным злоумышленником. Эта уязвимость может использоваться для атак с out-of-bounds записью.
-
CVE-2020-11898 (базовая оценка CVSS v3 9.8): неправильная обработка несоответствия параметра длины в компоненте ICMPv4/IPv4 при обработке пакета, отправленного неавторизованным злоумышленником. Эта уязвимость может привести к утечкам конфиденциальной информации.
-
CVE-2020-11899 (базовая оценка CVSS v3 9,8): неправильная проверка входных данных в компоненте IPv6 при обработке пакета, отправленного неавторизованным злоумышленником. Эта уязвимость может привести к утечкам конфиденциальной информации.
-
CVE-2020-11900 (базовая оценка CVSS v3 9,3): возможно двойное освобождение памяти в компоненте туннелирования IPv4 при обработке пакета, отправленного злоумышленником. Эта уязвимость может использоваться для удаленного выполнения кода.
-
CVE-2020-11901 (базовая оценка CVSS v3 9.0): неправильная проверка вводимых данных в DNS при обработке пакета, отправленного неавторизованным злоумышленником. Эта уязвимость может использоваться для удаленного выполнения кода.
Информацию по прочим уязвимостям можно найти в оповещении, выпущенном правительством США.
Исследователи в области кибербезопасности компании «JSOF» сообщили о своих выводах компании «Treck», которая смогла исправить большинство уязвимостей в версии 6.0.1.67 своей библиотеки.
Исследователи также связались с более чем 500 пострадавшими производителями устройств, в том числе - HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter и Quadros. Часть производителей уже признали наличие проблемы, а остальные до сих пор проводят оценку своей продукции.
Затронутые производители
«Раскрытие информации было отложено дважды по запросу производителей затронутого уязвимостями оборудования, некоторые поставщики заявили о задержках, связанных с эпидемией COVID-19. Из-за этих компаний данные исследования не публиковались более 120 дней. Несмотря на отсрочку, с некоторыми участвующими компаниями было трудно взаимодействовать, поскольку они предъявляли дополнительные требования, а некоторые, с нашей точки зрения, казались гораздо более обеспокоенными имиджем своего бренда, чем исправлением уязвимостей», - сообщают исследователи.
Поскольку миллионы устройств не получат оперативного обновления для устранения уязвимостей «Ripple20» в ближайшее время, исследователи и ICS-CERT рекомендовали потребителям и организациям:
-
Минимизировать взаимодействие всех устройств или систем системы управления с Интернет.
-
Размещать устройства и системы управления за брандмауэрами и изолировать их от остальной сети.
-
Использовать VPN для безопасного подключения ваших устройств к облачным службам через Интернет.
В своих рекомендациях CISA ICS-CERT также отметили, что затронутым компаниям нужно провести оценку рисков и потенциального ущерба перед применением защитных мер.
Перевод сделан со статьи https://thehackernews.com
