Veľké množstvo priemyselných systémov je v tejto chvíli možné hacknúť. Nedávno objavená zraniteľnosť Ripple 20 je kritická a je vysoká pravdepodobnosť, že sa týka aj Vašej infraštruktúry. Útočník je schopný získať plnú kontrolu nad zariadením - upraviť jeho správanie, vyradiť ho z prevádzky, či ho použiť ako odrazový mostík k ďalším útokom vo vnútornej sieti.
Čo je Ripple 20?
Ide o skupinu zraniteľností v softvérovej knižnici na obsluhu sieťových protokolov TCP/IP. Deravá knižnica, od spoločnosti Treck, je použitá v produktoch zhruba stovky dodávateľov. Jedná sa o 19 zraniteľností, ktoré sa vyskytujú v stovkách miliónov zariadení po celom svete. Zariadenia s týmito zraniteľnosťami sa vyskytujú vo veľkých počtoch aj na Slovensku.
V čom je Ripple 20 výnimočný?
Zraniteľnosti zo skupiny Ripple20 sú výnimočné tým, že sa týkajú softvérovej knižnice, ktorú do svojich produktov zakomponovali aj mnohí veľkí a známi výrobcovia. Aj keď ste o firme Treck a ich softvéri nikdy nepočuli, je ľahko možné, že ju využíva Vaša tlačiareň, server, záložný zdroj elektrickej energie, alebo PLC niekde vo výrobe.
Zraniteľnosti objavil izraelský tím JSOF v septembri 2019. Po ich upozornení začala spoločnosť TRECK na jar 2020 uverejňovať opravné verzie svojej knižnice. Dá sa predpokladať, že väčšina zariadení, ktoré sú na trhu a obsahujú zraniteľné implementácie protokolov TCP/IP od firmy TRECK, nie sú doposiaľ aktualizované a sú naďalej zraniteľné. Viac podrobností o zraniteľnostiach Ripple 20 nájdete na stránkach: https://www.jsof-tech.com/ripple20/.
Názov “ripple” znamená vlna (napr. vlna šíriaca sa po vodnej hladine). Bol zvolený preto, lebo zraniteľnosť, ktorá sa nachádza v implementácii komunikačných protokolov je veľmi dobre využiteľná na ďalšie šírenie zraniteľnosti. Pre výrobný priemysel, ktorý typicky funguje na báze hodnotových reťazcov, v rámci ktorých firmy spolu intenzívne komunikujú, môže nadobudnúť toto označenie ešte ďalší, znepokojujúci význam.
Čo je zmyslom tohto oznamu?
Cieľom tohto oznamu je vzbudiť pozornosť bezpečnostných pracovníkov v relevantných sektoroch a spoločnostiach, aby vykonali potrebné kroky a zvážili riziko(-á), ktoré táto zraniteľnosť priniesla z ohľadom na ich firmu/spoločnosť. Členmi AKB a Industry4UM sú experti, ktorí dokážu poskytnúť priemyselným firmám podporu pri týchto krokoch.
Čo treba robiť?
- Identifikovať, či sa zraniteľnosť vo firme vyskytuje.
- Identifikovať rozsah dopadu na zariadenia, technológie a systémy.
- Po zistení rozsahu dopadu určiť riziká pre jednotlivé systémy – nie každý systém bude mať pre nás rovnakú mieru rizika.
- Zvoliť akým spôsobom riziko ošetríme – nie ku každému systému sa potrebujeme chovať rovnako / nie všetky sú kritické.
- Na identifikované informačné systémy a komponenty aplikovať výrobcom odporúčané záplaty, alebo aplikovať výrobcom odporúčaný postup ošetrenia rizika.
- Zvážiť nastavenie/nasadenie trvalého monitoringu a vyhodnocovania zraniteľností relevantných komponentov.
- Revidovať proces pre identifikáciu zraniteľností a aplikovanie záplat na základe skúsenosti s Ripple 20.
- V prípade, ak potrebujete rámcovo poskytnúť asistenciu alebo viac informácií o postupe riešenia, neváhajte nás kontaktovať.
Aké zlé to je s výskytom Ripple 20 na Slovensku?
Predbežné rýchle skenovania ukazujú, že produkty mnohých identifikovaných dodávateľov sa na Slovensku vyskytujú s verziami softvéru, ktoré ešte nie sú bezpečné vzhľadom na zraniteľnosti Ripple 20. Možnosti vykonávania takéhoto skenovania bez aktívnej účasti samotných firiem sú však veľmi limitované a preto môže byť realita podstatne hrozivejšia.
Všeobecne konštatujeme, že obrovský rozsah výskytu zraniteľností Ripple 20 môže spôsobiť vlnu kybernetických útokov, ktoré sa budú snažiť využívať tieto zraniteľnosti. Vzhľadom na charakter niektorých zraniteľností (napríklad niektoré umožňujú vykonávať v napadnutom systéme škodlivý kód), môžu byť aj spôsobené škody značné.