Уязвимая библиотека TCP/IP за 20 лет обрела прописку в миллионах устройств IoT
Специалисты из JSOF обнаружили 19 уязвимостей — в совокупности именуемых Ripple20 — в небольшой библиотеке, выпущенной в 1997 году софтверной фирмой Treck.
За 23 года эта библиотека, содержащая облегченный стек TCP/IP для подключения маломощной техники к Интернету, была интегрирована в «сотни миллионов» промышленных и потребительских продуктов. Список уязвимого оборудования включает устройства умного дома, медицинские системы жизнеобеспечения, производственную технику, принтеры, маршрутизаторы, авионику и многое другое.
Эксперты опасаются, что продукты, использующие эту библиотеку, в большинстве своём останутся уязвимыми из-за сложных или неотслеживаемых цепочек поставок компонентов их программного обеспечения. Они указали, что многие компании вообще не знают о том, что у них применяется этот код, и название уязвимой библиотеки не фигурирует в их кодовых манифестах.
Не все 19 уязвимостей Ripple20 опасны, но у четырёх из них рейтинги 10 и 9,8 по 10-балльной шкале серьезности уязвимостей CVSSv3.
Эти четыре уязвимости позволяют преступникам легко брать под контроль интеллектуальные устройства, любое промышленное или медицинское оборудование. Атаки возможны через Интернет или из локальных сетей, например, через взломанный маршрутизатор. Установка патчей от этих четырёх проблем, таким образом, является приоритетной задачей для любой компании.
@godnoTECH - Новости Технологий
Специалисты из JSOF обнаружили 19 уязвимостей — в совокупности именуемых Ripple20 — в небольшой библиотеке, выпущенной в 1997 году софтверной фирмой Treck.
За 23 года эта библиотека, содержащая облегченный стек TCP/IP для подключения маломощной техники к Интернету, была интегрирована в «сотни миллионов» промышленных и потребительских продуктов. Список уязвимого оборудования включает устройства умного дома, медицинские системы жизнеобеспечения, производственную технику, принтеры, маршрутизаторы, авионику и многое другое.
Эксперты опасаются, что продукты, использующие эту библиотеку, в большинстве своём останутся уязвимыми из-за сложных или неотслеживаемых цепочек поставок компонентов их программного обеспечения. Они указали, что многие компании вообще не знают о том, что у них применяется этот код, и название уязвимой библиотеки не фигурирует в их кодовых манифестах.
Не все 19 уязвимостей Ripple20 опасны, но у четырёх из них рейтинги 10 и 9,8 по 10-балльной шкале серьезности уязвимостей CVSSv3.
Эти четыре уязвимости позволяют преступникам легко брать под контроль интеллектуальные устройства, любое промышленное или медицинское оборудование. Атаки возможны через Интернет или из локальных сетей, например, через взломанный маршрутизатор. Установка патчей от этих четырёх проблем, таким образом, является приоритетной задачей для любой компании.
@godnoTECH - Новости Технологий