Các lỗ hổng Ripple20 khiến hàng tỷ thiết bị kết nối Internet có nguy cơ bị hack

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Bộ lỗ hổng Ripple20 khiến hàng tỷ thiết bị có nguy cơ bị hack

Bộ An ninh Nội địa Hoa Kỳ và CISA ICS-CERT (The Cybersecurity and Infrastructure Security Agency) hôm nay đã phát hành một bản thông báo bảo mật nghiêm trọng về 19 lỗ hổng mới được phát hiện, ảnh hưởng đến hàng tỷ thiết bị kết nối Internet được sản xuất bởi nhiều nhà cung cấp khác nhau trên toàn cầu.

Được đặt tên là “Ripple20”, bộ 19 lỗ hổng này nằm trong một thư viện phần mềm TCP/IP cấp thấp do Treck phát triển, mà nếu được trang bị hóa, có thể cho phép kẻ tấn công từ xa chiếm quyền kiểm soát hoàn toàn các thiết bị mục tiêu – mà không cần bất kỳ tương tác nào từ người dùng.

Theo công ty an ninh mạng JSOF của Israel – công ty đã phát hiện ra những lỗ hổng này, các thiết bị bị xâm nhập đang được sử dụng trong nhiều ngành công nghiệp khác nhau, từ thiết bị gia dụng/tiêu dùng cho đến y tế, sức khỏe, các trung tâm dữ liệu, thiết bị trong các doanh nghiệp, viễn thông, dầu khí, hạt nhân, vận tải, và nhiều thiết bị quan trọng khác trên các cơ sở hạ tầng thiết yếu.

“Một vài ví dụ có thể kể đến như là: các dữ liệu có thể bị đánh cắp khỏi máy in, bơm truyền dịch bị lỗi khi bệnh nhân đang sử dụng, hay các thiết bị điều khiển công nghiệp bị làm cho trục trặc. Và kẻ tấn công thì có thể giấu mã độc trong các thiết bị nhúng trong nhiều năm”, các nhà nghiên cứu này cho biết thêm trong một báo cáo được chia sẻ với The Hacker News.

“Một trong những lỗ hổng này còn có thể cho phép kẻ tấn công xâm nhập từ bên ngoài vào các ranh giới mạng; đây chỉ là một phần nhỏ của những rủi ro tiềm ẩn khác.”

Bốn lỗ hổng đặc biệt nghiêm trọng được phát hiện trong ngăn xếp TCP/IP của Treck, với điểm CVSS trên 9, có thể cho phép kẻ tấn công thực thi mã tùy ý trên các thiết bị mục tiêu từ xa, và một lỗi nghiêm trọng ảnh hưởng đến giao thức DNS.

cyberattack

“15 lỗ hổng khác được đánh giá ở các mức độ nghiêm trọng khác nhau với điểm CVSS dao động từ 3,1 đến 8.2, và các phương thức tấn công thì trải dài từ tấn công từ chối dịch vụ (DoS) cho đến thực thi mã từ xa “, báo cáo viết.

Do sự thay đổi của bộ mã code và cấu hình Stack, một số lỗ hổng Ripple20 buộc phải thực hiện vá trong nhiều năm bởi Treck hoặc các nhà sản xuất thiết bị, và vì lý do tương tự, nhiều lỗ hổng đã tạo ra một số biến thể khác nhau, tuy nhiên, các lỗ hổng này dự đoán sẽ không được vá sớm cho đến khi nào các nhà cung cấp thực hiện xong quy trình đánh giá rủi ro toàn diện .

  • CVE-2020-11896 (CVSS v3 base score 10.0): Xử lý không đúng các parameter (tham số) trong IPv4/UDP component khi một packet (gói tin) được gửi đến bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến tấn công thực thi mã từ xa.
  • CVE-2020-11897 (CVSS v3 base score 10.0): Xử lý không đúng các parameter (tham số) trong IPv6 component khi một packet (gói tin) được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến lỗi out-of-bounds write
  • CVE-2020-11898 (CVSS v3 base score 9,8): Xử lý không đúng các parameter (tham số) trong IPv4/ICMPv4 component khi một packet được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến việc lộ thông tin nhạy cảm.
  • CVE-2020-11899 (CVSS v3 base score 9,8): Xác thực đầu vào không đúng trong IPv6 component khi xử lý một packet được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể cho phép kẻ tấn công tiếp xúc với thông tin nhạy cảm.
  • CVE-2020-11900 ( CVSS v3 base score 9,3): Có thể dẫn đến lỗi double free trong IPv4 tunneling component khi xử lý một packet được gửi bởi kẻ tấn công mạng. Lỗ hổng này có thể dẫn đến tấn công thực thi mã từ xa.
  • CVE-2020-11901 (CVSS v3 base score 9.0): Xác thực đầu vào không đúng trong hệ thống phân giải DNS khi xử lý gói tin được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến tấn công thực thi mã từ xa.

Chi tiết cho phần còn lại của các lỗ hổng này có thể được tìm thấy trong bản tư vấn bảo mật của chính phủ Hoa Kỳ.

Các nhà nghiên cứu an ninh mạng tại JSOF đã báo cáo các phát hiện này một cách  có trách nhiệm cho Treck, và sau đó công ty này đã nhanh chóng vá hầu hết các lỗ hổng bằng việc phát hành TCP/IP stack phiên bản 6.0.1.67 và một số phiên bản mới hơn.

Các chuyên gia bảo mật này cũng đã liên hệ với các nhà sản xuất thiết bị và chất bán dẫn bị ảnh hưởng, bao gồm HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter và Quadros. Phần lớn các nhà sản xuất đã biết về các lỗ hổng này, phần còn lại thì vẫn đang thực hiện đánh giá lại sản phẩm của họ trước khi cho phát hành bản vá.

cybersecurity iot devices

“Việc thông báo lỗ hổng đã bị hoãn lại đến hai lần sau khi một số nhà cung cấp yêu cầu muốn có thêm thời gian, còn một số khác thì lấy lý do chậm trễ vì ảnh hưởng bởi dịch COVID-19. Sau khi cân nhắc kỹ lưỡng, thời gian đã được kéo dài từ 90 ngày lên đến hơn 120 ngày. Vậy nhưng, càng về sau thì một số công ty càng trở nên khó đối phó, họ đưa ra thêm nhiều yêu sách, và một số trong số đó, từ quan điểm của chúng tôi, thì dường như quan tâm đến hình ảnh thương hiệu nhiều hơn là việc vá các lỗ hổng,” các nhà nghiên cứu cho biết.

Vì hàng triệu thiết bị có lẽ sẽ không thể sớm nhận được các bản vá bảo mật để giải quyết bộ lỗ hổng Ripple20, các nhà nghiên cứu và ICS-CERT đã đưa ra một số khuyến nghị tới người  dùng và các tổ chức:

  • Giảm thiểu phơi nhiễm mạng (network exposure) cho tất cả các thiết bị, hệ thống điều khiển, và đảm bảo rằng chúng không thể bị truy cập từ Internet.
  • Bảo vệ các mạng thuộc hệ thống điều khiển và thiết bị từ xa phía sau tường lửa và cô lập chúng khỏi mạng doanh nghiệp.

Bên cạnh đó, các chuyên gia này cũng khuyến cáo người dùng nên sử dụng mạng riêng ảo (virtual private network) để có thể kết nối an toàn với các dịch vụ đám mây trên Internet.

Trong bản tư vấn bảo mật của mình, CISA cũng đã yêu cầu các tổ chức bị ảnh hưởng thực hiện phân tích các tác động và đánh giá rủi ro thích hợp trước khi triển khai các biện pháp phòng thủ bảo vệ.

Theo The Hacker News