欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

Ripple20漏洞曝光:全球数亿物联网设备受到影响

 

       总部位于辛辛那提(Cincinnati)的软件公司 Treck 在 1997 年推出了一个小型库,在过去二十多年中被广泛使用,并集成到无数企业级和消费级产品中。不过今天,网络安全专家披露了存在于该小型库中的 19 个漏洞,统称为 Ripple20。

预估有“数亿”台设备受到影响,涵盖智能家居设备、电网设备、医疗系统、工业装备、运输系统、打印机、路由器、移动/卫星通信设备、数据中心设备、商用飞机设备、各种企业解决方案等产品。

而且安全专家还担心,由于软件供应链复杂或未被跟踪,所有使用该库的产品极有可能仍未打上补丁。导致问题如此严重的原因是,这个小型库不仅被设备厂商直接使用,而且还被集成到其他软件套件中。这意味着许多公司甚至不知道他们正在使用这段特殊的代码,而且这个存在漏洞的库名甚至不会出现在它们的代码 manifests 中。

该库能够实现一个轻量级TCP/IP协议栈。几十年来,很多公司一直在使用这个库,以允许他们的设备或软件通过TCP/IP连接连接到互联网。

2019年9月,来自以色列耶路撒冷的网络安全咨询公司 JSOF 研究人员 披露了 Treck TCP/IP协议栈的问题。JSOF 团队一直与不同国家的CERT(计算机应急小组)合作,协调漏洞披露和修补过程。

上周在接受外媒 ZDNet 采访的时候,本次活动涉及到很多方面,比如让Treck加入,确保Treck按时打好补丁,然后找到所有易受影响的设备,并联系到每个受影响的供应商。

JSOF的首席执行官Shlomi Oberman告诉ZDNet,努力是成功的。Oberman称赞CERT/CC在与所有受影响的供应商协调漏洞披露过程中发挥了重要作用。

Oberman表示虽然 Treck 刚开始并不承认,但现在已经积极行动起来,为所有Ripple20漏洞提供补丁。

但JSOF表示,识别所有易损设备的工作尚未完成。研究人员表示,他们将这19个漏洞命名为Ripple20,并不是因为它们一开始就是20个漏洞,而是因为它们将在2020年以及未来几年在物联网领域引起的涟漪效应。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: