您当前的位置:首页 > 互联网百科 > 物联网

物联网安全风暴:“Ripple20”漏洞波及数亿联网设备

时间:2020-06-18 20:40:25  来源:  作者:

日前,以色列安全公司JSOF曝出的一“波”19个物联网软件漏洞(统称Ripple20,其中四个很严重)波及全球数亿个物联网(IoT)和工业控制设备。

物联网安全风暴:“Ripple20”漏洞波及数亿联网设备

研究人员表示,他们将这19个漏洞命名为“Ripple20”并不是说发现了20个漏洞,而是因为这些漏洞将在2020年及以后的IoT市场中连锁引发安全风暴。更糟糕的是,研究人员指出目前发现的19个Ripple20零日漏洞可能只是冰山一角,而且攻击者的恶意代码可能会在嵌入式设备中潜伏多年。

Ripple20漏洞存在于一个90年代设计的软件库——物联网开发商广泛使用的,由Treck公司开发的TCP/IP软件库,用于实现轻量级的TCP / IP堆栈。在过去的20多年间,该库已经被广泛使用并集成到无数企业和个人消费者设备中。

JSOF研究实验室的研究人员称,受影响的硬件几乎无所不在,包括从联网打印机到医用输液泵和工业控制设备的海量设备。Treck的用户包括大把财富500强跨国公司,例如惠普、施耐德电气、英特尔、Rockwell Automation、Caterpillar,Baxter…以及医疗、运输、工业控制、能源(石油/天然气),电信,零售和商业等行业的许多其他主要国际供应商。

研究人员在周二的一篇文章中说:“软件库的广泛传播(及其内部漏洞)是供应链“涟漪效应”的结果。” “单个易受攻击的组件虽然影响很小,但可能会向外扩散,从而影响广泛的行业、应用程序、公司和个人。”

这些被称为Ripple20的漏洞包括四个高危远程代码执行漏洞。如果将这四个漏洞武器化,它们可使攻击者轻松接管智能设备或任何工业或医疗设备。如果设备在线连接,则可以通过互联网进行攻击;如果攻击者获得了内部网络的立足点(例如,通过受损的路由器),则可以通过本地网络进行攻击。

这四个漏洞对于僵尸网络运营商和针对性攻击都是理想的选择。考虑到Treck在整个软件领域的庞大影响,测试并修复所有系统的Ripple20漏洞应成为所有公司的首要任务。

“Ripple20”包含四个高危漏洞,详情如下:

CVE-2020-11896,其CVSS v3评分为10(满分10分),可以通过将多个格式错误的IPv4数据包发送到支持IPv4隧道的设备来触发。

CVE-2020-11897的CVSS v3漏洞严重性评分也达到了10分,属于越界写入漏洞,可以通过向设备发送多个格式错误的IPv6数据包来触发。它会影响任何运行旧版支持IPv6的Treck设备,并且先前已通过例行代码更改对其进行了修复。该漏洞可能潜在地允许稳定的远程代码执行。

CVE-2020-11901的CVSS v3漏洞严重性评分9,可以通过回答设备发出的单个DNS请求来触发。它可以使攻击者绕过任何安全措施,从而渗透网络,执行代码并接管设备。

JSOF表示:

CVE-2020-11898,CVSS v3评分9.1,当处理未经授权的网络攻击者发送的数据包时,这是对IPv4 / ICMPv4组件中的长度参数不一致错误的不当处理。它可以导致信息被公开。

其他15个漏洞的严重性评分从8.2到3.7不等。高达8.2的严重漏洞(例如CVE-2020-11900,一种可使用后使用的缺陷)到低严重性的不正确输入验证问题(例如CVE-2020-11913,严重性评分为3.7)。

JSOF表示:

JSOF警告说:

据悉,JSOF将在8月的Black Hat USA虚拟大会上提供有关漏洞的更多详细信息。

物联网安全风暴:“Ripple20”漏洞波及数亿联网设备

安全人士指出,Ripple20漏洞的影响预计与2019年7月披露的Urgent / 11漏洞类似,后者至今仍在调查中,业界至今仍在定期发现并修补新的漏洞设备。Urgent / 11漏洞影响了VxWorks实时操作系统的TCP / IP(IPnet)网络堆栈,该系统是IoT和工业领域中广泛使用的另一种产品。Ripple20漏洞的修补进程可以参考Urgent/11,后者至今仍有很多产品未能修复补丁(因为产品报废、供应商停止运营、设备无法停机等原因)。

Treck本周一已经发布了补丁,供OEM使用最新的Treck堆栈版本(6.0.1.67或更高版本)。现在的主要安全挑战是如何让如此多的企业尽快修复漏洞。除了ICS CERT,CERTCC和JPCERT / CC的建议之外,英特尔和惠普也发布了警报。

JSOF分析师称:

Knudsen补充说,这属于供应链问题,因此很多受影响的产品应该能够进行自我更新,但是在IoT和工业控制领域,并非总是如此。

对于无法安装补丁程序的用户,CERT / CC和CISA ICS-CERT建议:

用户还可以采取措施阻止异常IP流量,采用抢占式流量过滤,通过安全的递归服务器或DNS检查防火墙对DNS进行标准化,或提供具有DHCP侦听等功能的DHCP / DHCPv6安全性。

研究人员总结说:

Synopsys的高级安全策略师Jonathan Knudsen指出:

最后,让人担忧的是,存在漏洞的软件库不仅由设备供应商直接使用,而且还集成到大量其他软件套件中,这意味着许多公司甚至都不知道他们正在使用存在漏洞的代码。



Tags:物联网   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
大家好,我是志明。上一期我们聊了物联网的发展。今天我想和大家聊一聊物联网(IOT)的落地应用:共享设备。 相信各位对这个词并不陌生,随着互联网技术的快速发展,以共享设备为代表的...【详细内容】
2021-12-24  Tags: 物联网  点击:(18)  评论:(0)  加入收藏
随着物联网设备数量的持续增加,这些设备之间的通信或连接已成为一个重要的思考课题。通信对物联网来说十分常用且关键,无论是近距离无线传输技术还是移动通信技术,都影响着物联...【详细内容】
2021-12-16  Tags: 物联网  点击:(16)  评论:(0)  加入收藏
安科瑞 于洋 周洁摘要:现代物联网技术高速发展,许多场所已经开始合理应用物联网照明系统,作为工厂生产的重要因素之一,工厂照明系统的智能化控制可以有效提高工厂对能源的利用率...【详细内容】
2021-12-14  Tags: 物联网  点击:(20)  评论:(0)  加入收藏
来源:内容由半导体行业观察(ID:icbank)来自Ctimes,谢谢。在数字化实体世界中,物联网技术的应用相当广泛,市场潜能与商机庞大。麦肯锡(MGI)《物联网:超越市场炒作价值(The Internet o...【详细内容】
2021-11-30  Tags: 物联网  点击:(20)  评论:(0)  加入收藏
SpringBoot开发的物联网通信平台系统项目功能模块 功能 说明 MQTT 1.SSL支持 2.集群化部署时暂不支持retain&will类型消 UDP ...【详细内容】
2021-11-05  Tags: 物联网  点击:(56)  评论:(0)  加入收藏
物联网(IoT)行业正蓬勃发展,成功的物联网项目需要大量工程,本文讨论了完整物联网项目所需的开发人员技能:包括嵌入式开发技术,应用程序编程,大数据分析等等。硬件设计师大多数物...【详细内容】
2021-11-03  Tags: 物联网  点击:(29)  评论:(0)  加入收藏
M2M我的一般的理解就是机器到机器(Machine to Machine),点对点的机器链接。从概念上也可以理解为人到人(Man to Man)、人到机器(Man to Machine)。即时通信工具就是人到人的交互,人...【详细内容】
2021-10-29  Tags: 物联网  点击:(72)  评论:(0)  加入收藏
在这篇文章中,大家将了解MQTT协议,以及为什么在许多物联网应用中使用它。 MQTT协议最初由IBM开发,并且是专有的。它的开发是为了解决石油和天然气行业的传感器通过卫星与远程服...【详细内容】
2021-10-21  Tags: 物联网  点击:(32)  评论:(0)  加入收藏
WiFi发展至今已有20多年的历史,WiFi模组就已经不是一个新兴概念。随着国内市场上智能硬件的成长,WiFi迎来了"爆发式"增长,这也意味着WiFi模组找到了春天。无线通信模块的价值主...【详细内容】
2021-07-20  Tags: 物联网  点击:(106)  评论:(0)  加入收藏
背景介绍在 IoT 物联网场景中,因为消费者分布全球各地,设备会被销售到多个国家或地区使用。 如果需要通过某个固定的服务器,远程管理多个国家或地区的设备,那么可能会出现如下情...【详细内容】
2021-07-16  Tags: 物联网  点击:(80)  评论:(0)  加入收藏
▌简易百科推荐
大家好,我是志明。上一期我们聊了物联网的发展。今天我想和大家聊一聊物联网(IOT)的落地应用:共享设备。 相信各位对这个词并不陌生,随着互联网技术的快速发展,以共享设备为代表的...【详细内容】
2021-12-24  物联网系统开发大观    Tags:物联网   点击:(18)  评论:(0)  加入收藏
随着物联网设备数量的持续增加,这些设备之间的通信或连接已成为一个重要的思考课题。通信对物联网来说十分常用且关键,无论是近距离无线传输技术还是移动通信技术,都影响着物联...【详细内容】
2021-12-16  pheenet菲尼特    Tags:物联网   点击:(16)  评论:(0)  加入收藏
安科瑞 于洋 周洁摘要:现代物联网技术高速发展,许多场所已经开始合理应用物联网照明系统,作为工厂生产的重要因素之一,工厂照明系统的智能化控制可以有效提高工厂对能源的利用率...【详细内容】
2021-12-14  安科瑞于洋    Tags:物联网   点击:(20)  评论:(0)  加入收藏
来源:内容由半导体行业观察(ID:icbank)来自Ctimes,谢谢。在数字化实体世界中,物联网技术的应用相当广泛,市场潜能与商机庞大。麦肯锡(MGI)《物联网:超越市场炒作价值(The Internet o...【详细内容】
2021-11-30  半导体行业观察    Tags:物联网   点击:(20)  评论:(0)  加入收藏
计讯物联无线数传终端DTU,对接充电桩与后端管理中心,多量分散充电桩统一集中管控,工业设计,无线部署、远程状态监测。  无线DTU充电桩联网  1、无线数据终端DTU建立充电桩...【详细内容】
2021-11-05  物联界的程序猿    Tags:充电桩   点击:(40)  评论:(0)  加入收藏
物联网(IoT)行业正蓬勃发展,成功的物联网项目需要大量工程,本文讨论了完整物联网项目所需的开发人员技能:包括嵌入式开发技术,应用程序编程,大数据分析等等。硬件设计师大多数物...【详细内容】
2021-11-03  粤嵌教育    Tags:物联网   点击:(29)  评论:(0)  加入收藏
M2M我的一般的理解就是机器到机器(Machine to Machine),点对点的机器链接。从概念上也可以理解为人到人(Man to Man)、人到机器(Man to Machine)。即时通信工具就是人到人的交互,人...【详细内容】
2021-10-29  喻喻嗒    Tags:物联网   点击:(72)  评论:(0)  加入收藏
在这篇文章中,大家将了解MQTT协议,以及为什么在许多物联网应用中使用它。 MQTT协议最初由IBM开发,并且是专有的。它的开发是为了解决石油和天然气行业的传感器通过卫星与远程服...【详细内容】
2021-10-21  亿佰特物联网实验室    Tags:MQTT   点击:(32)  评论:(0)  加入收藏
介绍IconPark是字节跳动团队开源的一个开源图标库,一共提供超过2000个高质量的图标,提供可视化界面配置来实现不同的方案,非常适合开发者和设计师来使用! GithubGitHub:https://...【详细内容】
2021-07-19  爱分享Coder    Tags:IconPark   点击:(189)  评论:(0)  加入收藏
背景介绍在 IoT 物联网场景中,因为消费者分布全球各地,设备会被销售到多个国家或地区使用。 如果需要通过某个固定的服务器,远程管理多个国家或地区的设备,那么可能会出现如下情...【详细内容】
2021-07-16  公田    Tags:物联网   点击:(80)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条