吳明宜Ripple20 TCP/IP 重大漏洞 影響製造、醫療及一般企業用數千萬台 IoT 裝置
一組統稱為 Ripple20 的重大網路安全漏洞上周被安全廠商揭露,風險最高者可能導致 IoT 裝置被駭客接管,引發業界震驚。此外這批漏洞修補起來也困難重重。
以色列安全廠商 JSOF 首先於去年 9 月發現 Ripple20 漏洞,它影響了美國一家總部位於俄亥俄州的小公司 Treck 開發的專屬輕量 TCP/IP 函式庫,這家廠商已經釋出修補程式。
Ripple20 漏洞影響層面巨大
安全廠商發現,包括 4 個重大漏洞,其中 2 個是風險評分最高(10 分)的遠端程式碼執行(RCE)漏洞 (CVE-2020-11896 及 CVE-2020-1189)、1 個 9.1 的 RCE 漏洞 CVE-2020-11901),及 9.0 的資訊洩露漏洞 (CVE-2020-11898),分別可能導致遠端程式碼執行,造成資料竊取、惡意接管等。
安全廠商公佈受影響的 66 家廠商包括 Baxter、Digi International、HPE、HP、Intel、Max、Maxlinear、Sandia National Labs、HCL Tech,有些廠商如 Caterpillar、Rockwell Automation、Schneider Electric 等則已經釋出修補程式。
但是問題卻未結束。這款問題 TCP/IP 函式庫用於數量眾多的連網裝置,包括醫療裝置、工控系統、印表機,想修補漏洞是一件大工程。JSOF 指出,受影響的裝置「恐達數千萬或上億」台。
連檢測漏洞也不容易
許多裝置幾乎不可能遠端接收修補程式,安全公司 ReFirm Labs 共同創辦人 Terry Dunlap 指出,尤其是舊式網路設備,想要修補難上加難。有許多裝置是安裝在陰隌的機箱中,幾年都沒人去碰它,當你碰上了 TCP/IP 堆疊的漏洞,別忘了它可這些裝置的網路基礎核心。
Forrester Research 資深分析師 Brian Kime 也說,就算你只是要檢查網路設備有沒有受到漏洞影響都很難,因為這些漏洞並未外顯等待外部網路連線,因而也不容易被漏洞掃瞄產品發現。他們唯有深入供應鏈,詢問廠商和外包商他們的裝置是否用到了有漏洞的 TCP/IP 函式庫,普通情況下他們並未公開這些資訊,找廠商網站也找不到。
受影響的產品括及供應鏈每一層的數十家公司,因此企業從確認有無被 Ripple20 影響到修補,就必須一家一家進行。
所幸目前沒有跡象顯示這些漏洞遭到利用。此外,Dunlap 表示,一些網路設備從網際網路無法直接連上,因此除非像 Stuxnet 的攻擊,否則還是會循內部網路、以感染惡意程式的 USB 隨身碟、內部員工誤中網釣信件攻擊散佈攻擊程式可能性較高。
如果你是廠商原廠或 OEM 廠,Dunlap 建議未來最好還是別再用專屬的 TCP/IP 函式庫,改用開原碼函式庫吧。