Lỗ hổng Ripple20 khiến hàng triệu thiết bị IoT bị tấn công

Mới đây, Công ty an ninh mạng JSOF của Israel đã cảnh báo hàng triệu thiết bị IoT trên toàn thế giới có thể bị tấn công từ xa do các lỗ hổng bảo mật nguy cấp ảnh hưởng tới ngăn xếp Treck TCP/IP.
14:13 PM 22/06/2020 In bài viết này

Treck TCP/IP là bộ giao thức TCP/IP có hiệu suất cao, được thiết kế đặc biệt cho các hệ thống nhúng. Các nhà nghiên cứu của JSOF đã phát hiện ra sản phẩm này bị ảnh hưởng bởi 19 lỗ hổng mà họ gọi chung là Ripple20.

Các lỗ hổng được xếp vào mức nguy cấp cao, có thể bị khai thác để thực thi mã từ xa, thực hiện các tấn công từ chối dịch vụ (DoS) và đánh cắp thông tin nhạy cảm. Việc khai thác liên quan tới việc gửi các gói IP hoặc những yêu cầu DNS giả mạo tới các mục tiêu và trong một số trường hợp chúng có thể khởi chạy các cuộc tấn công trực tiếp từ Internet.

Ripple20 khiến hàng triệu thiết bị IoT bị tấn công - Ảnh 1.

Theo một báo cáo mô tả về Ripple20, các lỗ hổng Ripple20 có tác động và ảnh hưởng rộng rãi, chúng cho phép tin tặc vượt qua NAT (Network Address Translation - một kỹ thuật cho phép chuyển đổi địa chỉ IP) và tường lửa, chiếm quyền điều khiển của các thiết bị mà không cần tương tác từ người dùng. Điều này là do các lỗ hổng nằm trong ngăn xếp TCP/IP cấp thấp và thực tế là đối với một số lỗ hổng, các gói gửi đi rất giống với các gói hợp lệ hoặc trong một số trường hợp các gói hoàn toàn hợp lệ. Điều này cho phép cuộc tấn công vượt qua như lưu lượng truy nhập hợp pháp.

Các lỗ hổng này đã ảnh hưởng tới nhiều thiết bị của hơn 100 tổ chức, bao gồm các ngành: Công nghiệp, y tế, nhà thông minh, mạng, doanh nghiệp, bán lẻ, năng lượng và các hệ thống giao thông.

Theo JSOF, tùy thuộc vào hệ thống mục tiêu được sử dụng với mục đích gì mà việc khai thác lỗ hổng có thể cho phép kẻ tấn công duy trì truy nhập vào mạng, gây thiệt hại về tài chính, gây gián đoạn hoặc chiếm quyền kiểm soát thiết bị (trong trường hợp thiết bị y tế có thể đe dọa sức khỏe hoặc tính mạng con người).

Danh sách các nhà cung cấp sử dụng ngăn xếp Treck TCP/IP bao gồm các hệ thống: BAE Systems, BD, Broadcom, Cisco, Dell EMC, GE, Honeywell, HP, Intel, Lockheed Martin, NASA, NVIDIA, Philips, Rockwell Automation, Schneider Electric… Tuy nhiên, đáng chú ý là các nhà nghiên cứu chỉ xác định được lỗ hổng trong các sản phẩm của một số công ty như B. Braun, Baxter, Caterpillar, HP, Intel, Schneider, Sandia National Labs, Rockwell và HCL Technologies.

JSOF cho biết đã làm việc với một số tổ chức như CERT/CC, CISA, FDA, CERT quốc tế, các nhà cung cấp bị ảnh hưởng và các công ty an ninh mạng khác để cung cấp thông tin về các lỗ hổng và các nỗ lực xử lý.

Treck đã phát triển bản vá cho một số lỗ hổng, nhưng trong một số trường hợp cũng không dễ dàng triển khai chúng trên các thiết bị bị ảnh hưởng. Trong một số trường hợp lại không thể cài đặt các bản vá nên người dùng cần phải thực hiện một số bước để giảm thiểu rủi ro bị tấn công.

JSOF lưu ý rằng một số lỗ hổng được xác định đã được vá từ nhiều năm trước nhưng một số thiết bị đang sử dụng thư viện của Treck vẫn bị ảnh hưởng. Các nhà nghiên cứu cũng chỉ ra rằng những sự thay đổi mã và cấu hình đã tạo ra những biến thể khác nhau của các lỗ hổng.

Treck và một số nhà cung cấp bị ảnh hưởng đang làm việc để đưa ra những giải pháp xử lý Ripple20.

Hạnh Tâm (Theo securityweek.com)
Xem thêm