Ripple20: Kwetsbaarheden in miljoenen IoT-apparaten

Israëlische experts claimen dat er honderden miljoenen IoT-apparaten kritieke kwetsbaarheden bevatten — en dat is slechts de meest conservatieve schatting.

Experts van het Israëlische bedrijf JSOF hebben 19 zero-day-kwetsbaarheden gevonden, waarvan sommige kritiek, die een risico vormen voor honderden miljoenen Internet of Things-apparaten (IoT). Het ergste hiervan is dat sommige apparaten nooit updates zullen krijgen. Alle kwetsbaarheden werden ontdekt in de TCP/IP-bibliotheek van Treck Inc., die het bedrijf al langer dan 20 jaar ontwikkelt. De reeks kwetsbaarheden is Ripple20 genaamd.

Hoe is dit op u van invloed?

Het kan goed zijn dat u nog nooit van Treck of zijn TCP/IP-bibliotheek hebt gehoord, maar gezien het aantal getroffen apparaten en vendors, omvat uw bedrijfsnetwerk er hoogstwaarschijnlijk minimaal één. Deze bibliotheek is aanwezig in allerlei soorten IoT-oplossingen, wat betekent dat kwetsbare IoT-apparaten allerlei items omvatten, van thuis- en kantoorprinters tot industriële en medische uitrustingen.

Trecks creatie is een low-level bibliotheek die apparaten in staat stelt om met het internet te communiceren. In de afgelopen 20 jaar, sinds de uitgave van de eerste versie, is hij door tal van bedrijven gebruikt — want soms is het eenvoudiger om een kant-en-klare bibliotheek te gebruiken dan om er zelf een te ontwikkelen. Sommige pasten deze simpelweg toe, en anderen modificeerden hem zodat hij op hun behoeftes aansloot of integreerde hem in andere bibliotheken.

Bij het zoeken naar bedrijven die door Ripple20 zijn getroffen vonden de onderzoekers bovendien verschillende gevallen waarbij de oorspronkelijke koper van de bibliotheek de naam ervan had veranderd. In sommige gevallen was het overgenomen door een ander bedrijf. Het bepalen van het daadwerkelijke aantal apparaten dat deze bibliotheek gebuikt is hierdoor niet eenvoudig. “Honderden miljoenen” is een ruwe voorlopige schatting. Het kan zelfs om miljarden gaan.

Deze nogal complexe toeleveringsketen is ook de reden dat sommige apparaten nooit gepatcht zullen worden.

Wat zijn de kwetsbaarheden en waarom zijn ze gevaarlijk?

De overkoepelende naam Ripple20 omvat een totaal van 19 kwetsbaarheden die variëren wat betreft de ernst van de risico’s. De onderzoekers moeten alle technische details nog vrijgeven, en ze zijn van plan dat te doen tijdens de Black Hat-conferentie tegen het einde van de zomer. Het is echter al bekend dat minstens vier van de kwetsbaarheden als kritiek worden beschouwd, gebaseerd op een CVSS-score van meer dan 9.0.

Nog vier kwetsbaarheden die niet aanwezig zijn in de nieuwste versie van de bibliotheek verschijnen wel in eerdere versies die nog altijd op apparaten gebruikt worden. De bibliotheek is om andere redenen dan veiligheid geüpdatet, en veel vendors bleven oudere versies gebruiken.

Volgens JSOF is het bij sommige kwetsbaarheden zo dat aanvallers (die jarenlang onopgemerkt kunnen blijven) de volledige controle van een apparaat overnemen en zo gegevens van printers kunnen stelen of het gedrag van het apparaat kunnen beïnvloeden. Door twee kritieke nieuwe kwetsbaarheden kan er op afstand willekeurige code uitgevoerd worden. Er is een lijst met de kwetsbaarheden en een videodemo beschikbaar op de website van de onderzoekers.

Wat te doen

Voor bedrijven die de Treck TCP/IP-bibliotheek gebruiken, raden de onderzoekers aan om contact op te nemen met de ontwikkelaars en hun bibliotheek naar de laatste versie te updaten. Als dat niet mogelijk is, schakel dan alle kwetsbare functies op de apparaten uit.

Voor bedrijven die voor hun dagelijkse werk kwetsbare apparaten gebruiken wacht een zware taak. Om te beginnen moeten ze bepalen of er kwetsbaarheden aanwezig zijn in alle apparaten die ze gebruiken. Dat is niet zo eenvoudig als het klinkt en het kan zijn dat hier de hulp van regionale CERT-centra of vendors voor nodig is. Bovendien worden bedrijven geadviseerd om:

  • De firmware van alle apparaten te updaten (dat is sowieso aanbevolen, of er nu nieuwe kwetsbaarheden zijn of niet);
  • De internettoegang van kritieke IoT-apparaten te minimaliseren;
  • Het bedrijfsnetwerk te scheiden van netwerken waarin zulke apparaten worden gebruikt (tip: doe dit sowieso);
  • DNS-proxies in te stellen in de netwerken met IoT-apparaten.

Wij raden op onze beurt aan om een betrouwbare beveiligingsoplossing te gebruiken die onregelmatige activiteit in een bedrijfsnetwerk kan detecteren. Dat is bijvoorbeeld een van de vele voordelen van Kaspersky Threat Management and Defense.

Tips