Het JSOF-onderzoekslaboratorium heeft een reeks kwetsbaarheden ontdekt in een veel gebruikte low-level TCP / IP-softwarebibliotheek die is ontwikkeld door Treck. Fabrikanten gebruiken deze bibliotheek om hun apparaten verbinding met internet te laten maken. De 19 kwetsbaarheden, met de naam Ripple20, bestaan al 20 jaar, treffen honderden miljoenen apparaten (of meer) en bevatten meerdere kwetsbaarheden voor het uitvoeren van externe code. De risico’s die inherent zijn aan deze situatie zijn volgens de onderzoekers hoog.
Een paar voorbeelden: gegevens kunnen van een printer worden gestolen, het gedrag van een infusiepomp veranderd, of industriële bedieningsapparatuur kan defect raken. ‘Een aanvaller kan een schadelijke code jarenlang verbergen op embedded apparaten. Een van de kwetsbaarheden kan toegang van buitenaf tot de netwerkgrenzen mogelijk maken; en dit is slechts een kleine greep uit de mogelijke risico’s’, zo meldt het bedrijf op zijn website.
Het ‘interessante’ aan Ripple20, zo menen de onderzoekers, is ‘de ongelooflijke omvang van de impact’ die ontstaat door wat zij ‘de keten-factor’ noemen: de wijdverbreide verspreiding van de softwarebibliotheek (en de interne kwetsbaarheden) is een natuurlijk gevolg van het ‘keten-rimpeleffect’. Een enkel kwetsbaar onderdeel kan, hoewel het op zichzelf relatief klein is, naar buiten rimpelen en een grote verscheidenheid aan industrieën, toepassingen, bedrijven en mensen beïnvloeden, alsof je een steen in het water hebt gegooid.
Ripple20 bereikte kritische IoT-apparaten is allerlei toepassingegebieden, waarbij een diverse groep leveranciers betrokken was. Getroffen leveranciers variëren van eenpersoonsboetiekwinkels tot Fortune 500 multinationale ondernemingen, waaronder HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, evenals vele andere grote internationale leveranciers waarvan wordt vermoed dat ze kwetsbaar zijn in medische, transport- en industriële controle , ondernemingen, energie (olie / gas), telecom, detailhandel en handel en andere industrieën.
JSOF heeft Treck over de kwetsbaarheden geïnformeerd. Het softwarebedrijf heeft inmiddels beveiligingsupdates beschikbaar gemaakt. Fabrikanten moeten die updates in hun eigen software verwerken en onder gebruikers uitrollen.