Ripple20: 19 آسیبپذیری در میلیونها دستگاه مجهز به اینترنت اشیاء
متخصصین شرکتی به نام JSOF، 19 آسیبپذیری روز صفر کشف کردهاند؛ آسیبپذیریهایی که صدها میلیون دستگاه مجهز به فناوری اینترنت اشیاء (IoT) را تحتالشعاع قرار داده است.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)، بدترین بخش اینجاست که برخی دستگاهها دیگر هیچ آپدیتی دریافت نخواهند کرد. تمامی آسیبپذیریها در آرشیو TCP/IP شرکت Treck یافت شد؛ آرشیوی که این شرکت بیش از دو دهه مشغول توسعهی آن بوده است. این مجموعه آسیبپذیریها Ripple20 نام دارد. در ادامه با ما همراه شوید تا ضمن بررسی این آسیبپذیریها راهکارهای امنیتی نیز خدمتتان ارائه دهیم.
چطور آلودهتان میکند؟
شاید هرگز نام Treck یا آرشیو TCP/IP آن را نشنیده باشید؛ اما با توجه به تعداد دستگاهها و فروشندگان درگیرشده، شاید شبکه سازمانی شما هم جزو این آرشیو باشد. این آرشیو در همه نوع راهکار اینترنت اشیاء دیده میشود؛ بدینمعنا که دستگاههای آسیبپذیر آیتمهایی را از پرینترهای خانگی و اداری گرفته تا تجهیزات صنعتی و دارویی دربرمیگیرند. ساختهی Treck در حقیقت آرشیوی است سطح پایین که به دستگاهها اجازه میدهد با اینترنت تعامل داشته باشند.
در طول 20 سال گذشته –از زمان انتشار نسخهی اول- این آرشیو توسط شرکتها متعددی مورد استفاده قرار گرفت (که بیشتر اوقات برداشتن آرشیو حاضر و آماده از جدیدش را ساختن آسانتر است). برخی صرفاً آن را به کار گرفتند و بقیه آن را به فراخور نیازشان اصلاح کرده یا در سایر آرشیوها جاگذاری کردند.
افزون بر این، محققین وقتی داشتند دنبال شرکتهایی که آلودهی Ripple20 شده بودند میگشتند متوجه چندین مورد شدند که در آنها خریدار اصلی آرشیو نام خود را تغییر داده بود. در برخی موارد هم شرکت دیگری آن را برداشته بود. در نهایت اینکه ارزیابی تعداد واقعی دستگاههایی که از این آرشیو استفاده میکنند مشخص نیست. «صدها میلیون» تخمینی است بس تقریبی. شاید اصلاً این تعداد به میلیارد برسد. این زنجیره تأمین نسبتاً پیچیده همین دلیلی است برای هرگز پچ نشدن برخی از دستگاهها.
آسیبپذیریها چیستند و چطور میتوانند خطرناک باشند؟
Ripple20 نام مادریست که همانند چتر، 19 آسیبپذیری کلی با درجات مختلف اهمیت را پوشش میدهد. محققین هنوز تمامی جزئیات فنی را منتشر نکردهاند؛ آنها قصد دارند این کار را در کنفرانس Black Hat–که اواخر تابستان برگزار میشود- انجام دهند. با این حال گفته میشود در این میان دستکم چهار آسیبپذیری مهم محسوب میشود (امتیاز CVSS آنها بیش از 9.0 شد). چهار آسیبپذیری دیگر که در جدیدترین نسخه این آرشیو حضور نداشتند در تکرارهای قبلیای که هنوز در دستگاهها استفاده میشد ظاهر میشوند؛ این آرشیو به دلایلی غیر از ساحت امنیتی آپدیت شده است و بسیاری از فروشندگان همچنان از نسخههای قدیمیتر استفاده میکنند. به نقل از JSOF، برخی از آسیبپذیریها به مهاجمین –که میتوانند سالها ناشناس و بدون اینکه شناسایی شوند کمین کنند- اجازه میدهند تا نهایت کنترل را روی دستگاه داشته باشند و از آن برای سرقت اطلاعات از پرینترها یا تغییر رفتار دستگاه استفاده کنند.
دو آسیبپذیری مهم اجازهی اجرای ریموت کد دلخواه را میدهند. فهرستی از آسیبپذیریها و دموی ویدیویی در وبسایت این محققین موجود است.
چه کار باید کرد؟
توصیه محققین به شرکتهایی که از آرشیو TCP/IP شرکت Treck استفاده میکنند این است که با توسعهدهندگان تماس گرفته و آرشیو را به جدیدترین نسخهاش آپدیت کنند. اگر امکان چنین اقداماتی نبود تمامی کارکردهای آسیبپذیر را در دستگاهها غیرفعال کنید. در مورد شرکتهایی هم که در کارهای روزانهشان از دستگاههای آسیبپذیر استفاده میکنند ماجرا وجههی هولناکتری به خود میگیرد: برای شروع آنها باید مشخص کنند آیا در هر یک از تجهیزاتی که استفاده میکنند آسیبپذیریای وجود دارد یا خیر. این کار آنقدرها هم که نشان میدهد آسان نیست و ممکن است کمک مراکز یا فروشندههای منطقهای CERT را بطلبد. افزون بر این به شرکتها توصیه میشود که:
• سفتافزار تمام دستگاهها را آپدیت کنید.
• دسترسی اینترنت دستگاههای مجهز به IoT را به حداقل برسانید.
• شبکه اداری را که در آن چنین دستگاههایی مورد استفاده قرار میگیرد جداسازی کنید.
• پروکسیهای DNS شبکهها را با دستگاههای IoT تنظیم کنید.
ما نیز توصیه میکنیم از راهکار امنیتی مطمئنی استفاده کنید که قادر به شناسایی فعالیتهای غیرنرمال در شبکه سازمانی باشد. بعنوان مثال این یکی از چند مزیت Kaspersky Threat Management and Defense به شمار میآید.