EO

Miljoenen IoT-verbindingen in gevaar door kwetsbaarheden in veelgebruikte softwarebibliotheek (video)

22 juni 2020 om 12:27 uur

Het JSOF-onderzoekslaboratorium heeft een reeks kwetsbaarheden ontdekt in een veel gebruikte low-level TCP / IP-softwarebibliotheek die is ontwikkeld door Treck. Fabrikanten gebruiken deze bibliotheek om hun apparaten verbinding met internet te laten maken. De 19 kwetsbaarheden, met de naam Ripple20, bestaan al 20 jaar, treffen honderden miljoenen apparaten (of meer) en bevatten meerdere kwetsbaarheden voor het uitvoeren van externe code. De risico's die inherent zijn aan deze situatie zijn volgens de onderzoekers hoog.


Een paar voorbeelden: gegevens kunnen van een printer worden gestolen, het gedrag van een infusiepomp veranderd, of industriële bedieningsapparatuur kan defect raken. ‘Een aanvaller kan een schadelijke code jarenlang verbergen op embedded apparaten. Een van de kwetsbaarheden kan toegang van buitenaf tot de netwerkgrenzen mogelijk maken; en dit is slechts een kleine greep uit de mogelijke risico's', zo meldt het bedrijf op zijn website.

 

Het ‘interessante' aan Ripple20, zo menen de onderzoekers, is ‘de ongelooflijke omvang van de impact' die ontstaat door wat zij ‘de keten-factor' noemen: de wijdverbreide verspreiding van de softwarebibliotheek (en de interne kwetsbaarheden) is een natuurlijk gevolg van het ‘keten-rimpeleffect'. Een enkel kwetsbaar onderdeel kan, hoewel het op zichzelf relatief klein is, naar buiten rimpelen en een grote verscheidenheid aan industrieën, toepassingen, bedrijven en mensen beïnvloeden, alsof je een steen in het water hebt gegooid.

 

Ripple20 bereikte kritische IoT-apparaten is allerlei toepassingegebieden, waarbij een diverse groep leveranciers betrokken was. Getroffen leveranciers variëren van eenpersoonsboetiekwinkels tot Fortune 500 multinationale ondernemingen, waaronder HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, evenals vele andere grote internationale leveranciers waarvan wordt vermoed dat ze kwetsbaar zijn in medische, transport- en industriële controle , ondernemingen, energie (olie / gas), telecom, detailhandel en handel en andere industrieën.

 

JSOF heeft Treck over de kwetsbaarheden geïnformeerd. Het softwarebedrijf heeft inmiddels beveiligingsupdates beschikbaar gemaakt. Fabrikanten moeten die updates in hun eigen software verwerken en onder gebruikers uitrollen.

 

Gerelateerd nieuws

30 miljoen euro voor demonstratieprojecten groene waterstof

30 miljoen euro voor demonstratieprojecten groene waterstof

Vanaf 21 juni is de regeling Demonstratie Energie- en Klimaatinnovatie (DEI+) open met een nieuw thema: Waterstof en Groene Chemie. Hiervoor is €30 miljoen beschikbaar. De regeling is open tot 10 januari 2023. Wie het…

ING: industrie kan productiviteit ondanks personeelstekorten opvoeren door digitalisering

ING: industrie kan productiviteit ondanks personeelstekorten opvoeren door digitalisering

Structurele personeelstekorten stellen de technologische industrie voor grote uitdagingen, stelt ING: alles moet wijken om de toch al hoge productiviteit verder op te voeren. Het optimaal inzetten van digitale…

Onduidelijkheid over Energie-Opslagsystemen

Onduidelijkheid over veilige bedrijfsvoering energie-opslagsystemen

In NEN 4288: 2020 NL ‘Bedrijfsvoering van batterij-energieopslagsystemen’ is te lezen wat de eisen voor veilige bedrijfsvoering van batterij-opslagsystemen zijn. Maar wat veilige bedrijfsvoering inhoudt, daar zijn de…

Webshop

webshop

 

Gratis nieuwsbrief

EOL

 

Focus op

ABB BV
ABB BV

Machineveiligheid, systemen en componenten

Elobau Benelux BV *
Elobau Benelux BV *

creating sustainable solutions

Güdel Benelux
Güdel Benelux

Lineaire aandrijf componenten en oplossingen

Orfa Visser BV
Orfa Visser BV

Gespecialiseerd in Forceren, Dieptrekken, Flenswalsen, Lassen en Apparatenbouw.

Pilz Nederland
Pilz Nederland

Voor industriële (veilige) automatiseringsoplossingen

Rotero Holland BV
Rotero Holland BV

Stappenmotor - Servomotor - Elektro Magneet

Tevema
Tevema

Leverancier van technische standaardveren en normdelen, leverbaar uit voorraad.

Download gratis engineering boeken

A gratis boeken downloaden

 

Agenda

30 augustus 2022, Utrecht

Technishow + Esef

TechniShow is ingedeeld in verschillende sectoren waar productietechnieken, fases en toebehoren van het...

21 september 2022

Design to Manufacturing (voorheen Prototyping MNE)

Netwerkbeurs en competentieplatform voor wie betrokken is in slimme maak- en ontwerprocessen.

27 september 2022, Utrecht

WoTS

World of Technology & Science bedient bezoekers uit industrie, laboratoria, zorg en wetenschap.

Meer agendapunten »