Ripple20ゼロデイは、いくつかのデバイスをより高いリスクにさらしました

新たに発見された19の脆弱性によりIoTデバイスがハッキングされる

研究者は、多くのIoT製品のベースにあるTCPの新しい欠陥を明らかにしました。つまり、何十億ものインターネット接続デバイスが大きなリスクにさらされており、ハッキングされる可能性もあります。報告によると、ゼロデイ脆弱性Ripple20は、これらの欠陥が標的システムで実行される任意のコードの機能のために数千億のデバイスに影響を与える可能性があると述べています。

攻撃者は何年もの間、組み込みデバイス内に悪意のあるコードを隠すことができます。脆弱性の1つは、外部からネットワーク境界への侵入を可能にする可能性があります。これは潜在的なリスクのほんの一部にすぎません。

これらの問題によると、セキュリティの欠陥は、世界中のさまざまなベンダーによって製造されている何十億ものインターネット接続デバイスに影響を与えています。この欠陥のグループは、Treckが開発した低レベルのTCPソフトウェアに存在します。イオンの場合、この欠陥が悪用されると、攻撃者は標的のコンピューターへのリモートアクセスを取得し、システムを完全に制御できます。これらの違法行為はすべて、これらのタスクを実行するためのユーザーの許可を必要としません。

さまざまな業界で危険にさらされているデバイス

送電網、航空および政府、産業分野、国家安全保障部門で使用されるコンピューターに存在する影響を受けるライブラリ。これらの欠陥は悪用されて人々に使用される可能性があり、特に家庭から医療、データセンター、通信、石油、ガス、原子力、輸送など、さまざまなデバイスに被害が及ぶ可能性があります。

Ripple20の興味深い点は、サプライチェーンの要因によって拡大される、その影響の信じられないほどの範囲です。ソフトウェアライブラリ(およびその内部の脆弱性)の普及は、サプライチェーンの「波及効果」の自然な結果でした。単一の脆弱なコンポーネントは、それ自体は比較的小さいものの、外側に波及して、さまざまな業界、アプリケーション、企業、および人々に影響を与える可能性があります。

専門家によると、このライブラリで使用しているすべての製品は、複雑なソフトウェアサプライチェーンのため、パッチが適用されないままです。主な問題は、ライブラリが機器ベンダーによって直接使用されなかったことです。多くの企業は特定のコードが脆弱であることを認識していないため、他のソフトウェアスイートもこのライブラリに統合されています。

Ripple20ソフトウェアの欠陥の一部にパッチが適用されました:

Treck Companyは、Ripple20のすべての欠陥にパッチが利用できるようになったが、コード構成に変更があることを明らかにしました。欠陥のグループの名前は、現在の2020年と、IoTランドスケープでそれらが引き起こす可能性のある波及効果に応じて付けられました。さらに、このグループのすべての欠陥には、潜在的に引き起こされた損傷に基づいて、3.1から10の範囲のCVSSスコアのさまざまなレベルがあります。

  • CVE-2020-11896。これにより、リモートでコードが実行される可能性があります。レベル10.0。
  • CVE-2020-11897。この欠陥は、範囲外の可能性を引き起こす可能性があります。レベル10.0。
  • CVE-2020-11898。この脆弱性により、貴重なデータが漏洩する可能性があります。レベル9.8。
  • CVE-2020-11899。この欠陥を使用すると、機密情報が漏洩する可能性があります。レベル9.8。
  • CVE-2020-11900。これは、リモートでコードが実行される可能性がある欠陥です。レベル9.3。
  • CVE-2020-11901。このバグにより、ターゲットデバイスでリモートコードが実行される可能性があります。レベル9.0。