EO

Miljoenen IoT-verbindingen in gevaar door kwetsbaarheden in veelgebruikte softwarebibliotheek (video)

22 juni 2020 om 12:27 uur

Miljoenen IoT-verbindingen in gevaar door kwetsbaarheden in veelgebruikte softwarebibliotheek

Het JSOF-onderzoekslaboratorium heeft een reeks kwetsbaarheden ontdekt in een veel gebruikte low-level TCP / IP-softwarebibliotheek die is ontwikkeld door Treck. Fabrikanten gebruiken deze bibliotheek om hun apparaten verbinding met internet te laten maken. De 19 kwetsbaarheden, met de naam Ripple20, bestaan al 20 jaar, treffen honderden miljoenen apparaten (of meer) en bevatten meerdere kwetsbaarheden voor het uitvoeren van externe code. De risico's die inherent zijn aan deze situatie zijn volgens de onderzoekers hoog.


Een paar voorbeelden: gegevens kunnen van een printer worden gestolen, het gedrag van een infusiepomp veranderd, of industriële bedieningsapparatuur kan defect raken. ‘Een aanvaller kan een schadelijke code jarenlang verbergen op embedded apparaten. Een van de kwetsbaarheden kan toegang van buitenaf tot de netwerkgrenzen mogelijk maken; en dit is slechts een kleine greep uit de mogelijke risico's', zo meldt het bedrijf op zijn website.

 

Het ‘interessante' aan Ripple20, zo menen de onderzoekers, is ‘de ongelooflijke omvang van de impact' die ontstaat door wat zij ‘de keten-factor' noemen: de wijdverbreide verspreiding van de softwarebibliotheek (en de interne kwetsbaarheden) is een natuurlijk gevolg van het ‘keten-rimpeleffect'. Een enkel kwetsbaar onderdeel kan, hoewel het op zichzelf relatief klein is, naar buiten rimpelen en een grote verscheidenheid aan industrieën, toepassingen, bedrijven en mensen beïnvloeden, alsof je een steen in het water hebt gegooid.

 

Ripple20 bereikte kritische IoT-apparaten is allerlei toepassingegebieden, waarbij een diverse groep leveranciers betrokken was. Getroffen leveranciers variëren van eenpersoonsboetiekwinkels tot Fortune 500 multinationale ondernemingen, waaronder HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, evenals vele andere grote internationale leveranciers waarvan wordt vermoed dat ze kwetsbaar zijn in medische, transport- en industriële controle , ondernemingen, energie (olie / gas), telecom, detailhandel en handel en andere industrieën.

 

JSOF heeft Treck over de kwetsbaarheden geïnformeerd. Het softwarebedrijf heeft inmiddels beveiligingsupdates beschikbaar gemaakt. Fabrikanten moeten die updates in hun eigen software verwerken en onder gebruikers uitrollen.

 

Gerelateerd nieuws

Supergeleider bij kamertemperatuur

Supergeleiding nu mogelijk bij kamertemperatuur

Natuurkundigen van de universiteiten van Nevada, Las Vegas en Rochester hebben een doorbraak bereikt in de lang lopende zoektocht naar een supergeleider op kamertemperatuur, wel de heilige graal van energie-efficiëntie…

Gedachtenlezende jurk opmaat naar draad- en batterijloos exoskelet

Gedachtenlezende jurk opmaat naar draad- en batterijloos exoskelet (video)

De Nederlandse high-tech fashiondesigner Anouk Wipprecht heeft een jurk ontwikkeld met een ultra-lage energie-hoge resolutie-hersencomputerinterface die zo gevoelig is dat als de drager erover nadenkt om een enkele…

Een nieuwe generatie DC / DC-converters

Een nieuwe generatie DC / DC-converters

Brandstofcellen spelen een sleutelrol in de overgang naar hernieuwbare energiebronnen en mobiliteit. Maar de energie-efficiëntie van deze cellen vormt een grote uitdaging, vooral in de automobieltechniek.

Webshop

webshop

 

Gratis nieuwsbrief

EOL

 

Product van de maand

RSS
Veilige Laserscanner PSENscan | Nu ook verticaal te gebruiken

De veiligheids- laserscanner PSENscan is nu ook geschikt voor het beveiligen van de gebieden die verticale toepassingen...

Focus op

ABB BV
ABB BV

Machineveiligheid, systemen en componenten

B&R Industriële Automatisering BV *
B&R Industriële Automatisering BV *

Perfection in Automation

Elobau Benelux BV *
Elobau Benelux BV *

creating sustainable solutions

Pilz Nederland
Pilz Nederland

Voor industriële (veilige) automatiseringsoplossingen

Ringspann Benelux BV
Ringspann Benelux BV

Partner in aandrijf- en opspantechniek

Rotero Holland BV
Rotero Holland BV

Stappenmotor - Servomotor - Elektro Magneet

Download gratis engineering boeken

A gratis boeken downloaden

 

Agenda

2 november 2020, online

Hoppenbrouwers 'Leren & Werken event'

Event over de kansen en opleidingsmogelijkheden binnen het technische installatiebedrijf Hoppenbrouwers.

3 november 2020, Vianen

Masterclass Machineveiligheid XL

3, 4, 10, 11 november 2020

5 november 2020, online

EMVT Kennisdag

Toepassers en ontwikkelaars op het gebied van vermogenselektronica en elektromagnetisme delen hun kennis...

Meer agendapunten »