พบช่องโหว่ Zero-day ‘Ripple20’ คาดกระทบอุปกรณ์ IoT มากกว่า 100 ล้านตัว

ทีมนักวิจัยจาก JSOF ได้พบกลุ่มช่องโหว่ Zero-day กว่า 19 รายการหรือตั้งชื่อว่า ‘Ripple20’ ซึ่งพบในไลบรารีของ TCP/IP หนึ่งที่สร้างขึ้นมาตั้งแต่ปี 1997 โดยจนถึงปัจจุบันมีการใช้งานอย่างแพร่หลายและประเมินว่าน่าจะมีอุปกรณ์ IoT ได้รับผลกระทบกว่า 100 ล้านชิ้นในหลากหลายอุตสาหกรรม

credit : JSOF

Ripple20 เกิดขึ้นไลบรารี TCP/IP ของบริษัทที่ชื่อ Treck ซึ่งทำให้อุปกรณ์หรือซอฟต์แวร์สามารถเชื่อมต่ออินเทอร์เน็ตได้บน TCP/IP ประเด็นที่ JSOF ได้สนใจเพราะว่าไลบรารีตัวนี้ถูกนำไปใช้ในอุปกรณ์ IoT มากมายหลากหลายอุตสาหกรรมทั้ง Healthcare, ปริ้นท์เตอร์, เราเตอร์, อุปกรณ์ในดาต้าเซ็นเตอร์, อุปกรณ์ในภาคอุตสาหกรรม, Power Grid, อุปกรณ์ตามบ้าน, ระบบขนส่ง หรือแม้กระทั่งอุปกรณ์สื่อสารผ่านดาวเทียม มือถือ และอื่นๆ 

ช่องโหว่จำนวนหนึ่งมีระดับร้ายแรงดังนี้

  • CVE-2020-11896 (10/10) – จัดการ Parameter Length ของ IPv4/UDP ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่ Remote Code Execution
  • CVE-2020-11897 (10/10) – จัดการ Parameter Length ของ IPv6 ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่ out-of-bound-write
  • CVE-2020-11898 (9.8/10) – จัดการ Parameter Length ของ IPv4/ICMPv4 ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่การเปิดเผยข้อมูล
  • CVE-2020-11899 (9.8/10) – ตรวจสอบ Input ของ IPv6 ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่การเปิดเผยข้อมูล

อย่างไรก็ดีเชื่อแน่ว่าการเปิดเผยครั้งนี้จะเพิ่มความเสี่ยงให้อุปกรณ์ IoT ที่เชื่อมต่ออินเทอร์เน็ต และเพิ่มช่องทางให้แก่ Botnet แม้กระทั่งแฮ็กเกอร์ที่อยู่ในเครือข่ายเพื่อขยายวงการโจมตี ด้วยเหตุนี้เองทางองค์กรจึงต้องตระหนักถึงช่องโหว่เหล่านี้ แต่ที่น่าหนักใจคือการติดตามนั้นเป็นไปได้ยากเหลือเกินเพราะไลบรารีตัวนี้อาจไม่ได้ถูกใช้โดยตรงในอุปกรณ์ที่เราใช้ แต่อาจจะถูกรวมอยู่ในส่วนประกอบของซอฟต์แวร์อะไรสักอย่างหนึ่งที่เราคิดไม่ถึงเลย

ปัจจุบัน Treck ได้ยอมรับช่องโหว่ที่นักวิจัยได้เปิดเผยแล้ว โดย Ripple20 ไม่ได้หมายถึงจำนวนของช่องโหว่แต่นักวิจัยเชื่อว่าจะหลอกหลอนผู้ใช้งาน IoT ในปี 2020 และอนาคตอันใกล้นี้ (เหมือนกับตอนที่พบช่องโหว่ใน Urgent/11 ที่มีการใช้งานในวงกว้าง ปัจจุบันยังระบุอุปกรณ์ที่ได้รับผลกระทบไม่หมด) ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่เว็บไซต์ของ JSOF 

วีดีโอสาธิตการโจมตี

ที่มา :  https://www.zdnet.com/article/ripple20-vulnerabilities-will-haunt-the-iot-landscape-for-years-to-come/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google ถอดซอฟต์แวร์ Antivirus ของ Kaspersky ออกจาก Play Store พร้อมปิดบัญชี

ช่วงวันหยุดสุดสัปดาห์ที่ผ่านมา Google ได้มีการถอดแอป Security ของทาง Kaspersky ออกจาก Google Play Store รวมทั้งปิดบัญชีนักพัฒนาของบริษัทสัญชาติรัสเซียไปอีกด้วย

พบช่องโหว่ร้ายแรงใน Zimbra Email Server กำลังถูกโจมตีแนะเร่งอัปเดต

พบช่องโหว่ร้ายแรงบน Zimbra Email Server หมายเลขอ้างอิง CVE-2024-45519 ซึ่งกำลังถูกใช้โจมตีในวงกว้าง เพียงแค่คนร้ายส่งอีเมลเข้าไปหา SMTP Server ดังนั้นจึงแนะนำให้แอดมินที่เกี่ยวข้องเร่งอัปเดต หรือหามาตรการป้องกัน