吳明宜Ripple20 TCP/IP重大漏洞 影響製造、醫療及一般企業用數千萬台IoT裝置
一組統稱為Ripple20的重大網路安全漏洞上周被安全廠商揭露,風險最高者可能導致IoT裝置被駭客接管,引發業界震驚。此外這批漏洞修補起來也困難重重。
以色列安全廠商JSOF首先於去年9月發現Ripple20漏洞,它影響了美國一家總部位於俄亥俄州的小公司Treck開發的專屬輕量TCP/IP函式庫,這家廠商已經釋出修補程式。
Ripple20漏洞影響層面巨大
安全廠商發現,包括4個重大漏洞,其中2個是風險評分最高(10分)的遠端程式碼執行(RCE)漏洞(CVE-2020-11896 及 CVE-2020-1189)、1個9.1的RCE漏洞CVE-2020-11901),及9.0的資訊洩露漏洞(CVE-2020-11898),分別可能導致遠端程式碼執行,造成資料竊取、惡意接管等。
安全廠商公佈受影響的66家廠商包括Baxter、Digi International、HPE、HP、Intel、Max、Maxlinear、Sandia National Labs、HCL Tech,有些廠商如Caterpillar、Rockwell Automation、Schneider Electric等則已經釋出修補程式。
但是問題卻未結束。這款問題TCP/IP函式庫用於數量眾多的連網裝置,包括醫療裝置、工控系統、印表機,想修補漏洞是一件大工程。JSOF指出,受影響的裝置「恐達數千萬或上億」台。
連檢測漏洞也不容易
許多裝置幾乎不可能遠端接收修補程式,安全公司ReFirm Labs共同創辦人Terry Dunlap指出,尤其是舊式網路設備,想要修補難上加難。有許多裝置是安裝在陰隌的機箱中,幾年都沒人去碰它,當你碰上了TCP/IP堆疊的漏洞,別忘了它可這些裝置的網路基礎核心。
Forrester Research資深分析師Brian Kime也說,就算你只是要檢查網路設備有沒有受到漏洞影響都很難,因為這些漏洞並未外顯等待外部網路連線,因而也不容易被漏洞掃瞄產品發現。他們唯有深入供應鏈,詢問廠商和外包商他們的裝置是否用到了有漏洞的TCP/IP函式庫,普通情況下他們並未公開這些資訊,找廠商網站也找不到。
受影響的產品括及供應鏈每一層的數十家公司,因此企業從確認有無被Ripple20影響到修補,就必須一家一家進行。
所幸目前沒有跡象顯示這些漏洞遭到利用。此外,Dunlap表示,一些網路設備從網際網路無法直接連上,因此除非像Stuxnet的攻擊,否則還是會循內部網路、以感染惡意程式的USB隨身碟、內部員工誤中網釣信件攻擊散佈攻擊程式可能性較高。
如果你是廠商原廠或OEM廠,Dunlap建議未來最好還是別再用專屬的TCP/IP函式庫,改用開原碼函式庫吧。