محققان امنیت سایبری با انتشار مشاورهنامهای مهم، در مورد شناسایی ۱۹ آسیبپذیری جدید که میلیاردها دستگاه متصل به اینترنت، تولیدشده توسط بیش از ۵۰۰ فروشنده، در سراسر جهان را تحت تأثیر قرار میدهند، هشدار دادند. این آسیبپذیریها که در کل «Ripple20» نامیده میشوند، در یک کتابخانهی نرمافزاری سطح پایین TCP/IP، توسعهیافته توسط شرکت Treck، وجود دارند که در صورت weaponized شدن، امکان دستیابی به کنترل کامل دستگاه هدف، بدون نیاز به تعامل با کاربر را برای مهاجمان فراهم میکنند.
به گفتهی محققان، این دستگاههای آسیبدیده در صنایع مختلفی، از جمله دستگاههای خانگی، پزشکی، بهداشت و درمان، مراکز داده، شرکتها، مخابرات، نفت، گاز، انرژی هستهای، حمل و نقل و بسیاری از زیرساختهای مهم دیگر، مورد استفاده قرار میگیرند. بهعنوان مثال، بهرهبرداری از این آسیبپذیریها، میتواند به سرقت دادهها از یک پرینتر، تغییر رفتار یک پمپ تزریق، ورود به محدودهی یک شبکه و یا ایجاد اختلال در عملکرد دستگاههای کنترل صنعتی منجر شوند. از سوی دیگر، مهاجمان میتوانند کدهای مخرب را برای سالها در دستگاههای تعبیهشده پنهان کنند.
براساس گزارشهای منتشرشده، ۴ آسیبپذیری بحرانی در پشتهی Treck TCP/IP وجود دارد که در سیستم CVSS، امتیاز بالاتر از ۹ را به خود اختصاص دادهاند. این آسیبپذیریها به مهاجمان اجازه میدهند تا از راه دور، کد دلخواه خود را بر روی دستگاه هدف اجرا کنند. یک اشکال بحرانی دیگر نیز، پروتکل DNS را تحت تأثیر قرار میدهد.
علاوهبراین، ۱۵ آسیبپذیری دیگر با شدتهای مختلف و امتیاز CVSS از ۳٫۱ تا ۸٫۲، میتوانند به ایجاد شرایط منع سرویس و اجرای کد از راه دور منجر شوند.
تعدادی از آسیبپذیریهای Ripple20 در طول سالها بهدلیل تغییر کدها و قابلیت پیکربندی پشته توسط Treck یا سازندگان دستگاهها وصله شدهاند و به همین دلیل، بسیاری از نقصها چندین نوع مختلف دارند. بنابراین، به نظر میرسد تا زمانی که فروشندگان یک ارزیابی جامع ریسک انجام ندهند، این آسیبپذیریها به این زودیها وصله نخواهند شد.
جزئیات برخی از این اشکالها در ادامه آمده است.
- CVE-2020-11896 (با امتیاز ۱۰ در CVSS v3): هندلینگ نادرستِ ناهماهنگی پارامتر طول در مؤلفهی IPv4/UDP، هنگام هندلکردن یک بستهی ارسالشده توسط مهاجم غیرمجاز شبکه. این آسیبپذیری میتواند به اجرای کد از راه دور منجر شود.
- CVE-2020-11897 (با امتیاز ۱۰ در CVSS v3): هندلینگ نادرستِ ناهماهنگی پارامتر طول در مؤلفهی IPv6، هنگام هندلکردن یک بستهی ارسالشده توسط مهاجم غیرمجاز شبکه. این آسیبپذیری میتواند به نوشتن خارج از محدوده منجر شود.
- CVE-2020-11898 (با امتیاز ۹٫۸ در CVSS v3): هندلینگ نادرستِ ناهماهنگی پارامتر طول در مؤلفهی IPv4/ICMPv4، هنگام هندلکردن یک بستهی ارسالشده توسط مهاجم غیرمجاز شبکه. این آسیبپذیری میتواند به افشای اطلاعات حساس منجر شود.
- CVE-2020-11899 (با امتیاز ۹٫۸ در CVSS v3): هندلینگ نادرستِ ناهماهنگی پارامتر طول در مؤلفهی IPv6، هنگام هندلکردن یک بستهی ارسالشده توسط مهاجم غیرمجاز شبکه. این آسیبپذیری میتواند به افشای اطلاعات حساس منجر شود.
- CVE-2020-11900 (با امتیاز ۹٫۳ در CVSS v3): Possible double free در مؤلفهی تونِلینگ IPv4، هنگام هندلکردن یک بستهی ارسالشده توسط مهاجم غیرمجاز شبکه. این آسیبپذیری میتواند به اجرای کد از راه دور منجر شود.
- CVE-2020-11901 (با امتیاز ۹ در CVSS v3): اعتبارسنجی نامناسب ورودی در مؤلفهی resolver پروتکل DNS، هنگام هندلکردن یک بستهی ارسالشده توسط مهاجم غیرمجاز شبکه. این آسیبپذیری میتواند به اجرای کد از راه دور منجر شود.
محققان امنیت سایبری یافتههای خود را به شرکت Treck گزارش داده و این شرکت نیز، با انتشار نسخهی ۶٫۰٫۱٫۶۷ یا بالاتر پشتهی TCP/IP، بیشتر این آسیبپذیریها را وصله کرد.
از آنجایی که میلیونها دستگاه به این زودیها وصلههای امنیتی برای آسیبپذیریهای Ripple20 را دریافت نخواهند کرد، بنابراین به مشتریان و سازمانها توصیه میشود:
- قرارگرفتن در معرض شبکه برای تمامی دستگاههای سیستم کنترل را به حداقل رسانده و از عدم دسترسی آنها به اینترنت اطمینان حاصل کنند.
- شبکههای سیستم کنترل و دستگاههای راه دور را پشت فایروال قرار داده و آنها را از شبکهی تجاری جدا کنند.
علاوهبراین، به کاربران توصیه میشود تا از شبکههای خصوصی مجازی برای اتصال ایمن دستگاههای خود به سرویسهای مبتنیبر ابر از طریق اینترنت استفاده کنند. همچنین از سازمانهای آسیبدیده خواسته شده است تا قبل از هرگونه اقدام دفاعی، تجزیه و تحلیل و ارزیابی ریسک مناسبی را انجام دهند.