ทีมนักวิจัยจาก JSOF ได้พบกลุ่มช่องโหว่ Zero-day กว่า 19 รายการหรือตั้งชื่อว่า ‘Ripple20’ ซึ่งพบในไลบรารีของ TCP/IP หนึ่งที่สร้างขึ้นมาตั้งแต่ปี 1997 โดยจนถึงปัจจุบันมีการใช้งานอย่างแพร่หลายและประเมินว่าน่าจะมีอุปกรณ์ IoT ได้รับผลกระทบกว่า 100 ล้านชิ้นในหลากหลายอุตสาหกรรม
Ripple20 เกิดขึ้นไลบรารี TCP/IP ของบริษัทที่ชื่อ Treck ซึ่งทำให้อุปกรณ์หรือซอฟต์แวร์สามารถเชื่อมต่ออินเทอร์เน็ตได้บน TCP/IP ประเด็นที่ JSOF ได้สนใจเพราะว่าไลบรารีตัวนี้ถูกนำไปใช้ในอุปกรณ์ IoT มากมายหลากหลายอุตสาหกรรมทั้ง Healthcare, ปริ้นท์เตอร์, เราเตอร์, อุปกรณ์ในดาต้าเซ็นเตอร์, อุปกรณ์ในภาคอุตสาหกรรม, Power Grid, อุปกรณ์ตามบ้าน, ระบบขนส่ง หรือแม้กระทั่งอุปกรณ์สื่อสารผ่านดาวเทียม มือถือ และอื่นๆ
ช่องโหว่จำนวนหนึ่งมีระดับร้ายแรงดังนี้
- CVE-2020-11896 (10/10) – จัดการ Parameter Length ของ IPv4/UDP ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่ Remote Code Execution
- CVE-2020-11897 (10/10) – จัดการ Parameter Length ของ IPv6 ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่ out-of-bound-write
- CVE-2020-11898 (9.8/10) – จัดการ Parameter Length ของ IPv4/ICMPv4 ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่การเปิดเผยข้อมูล
- CVE-2020-11899 (9.8/10) – ตรวจสอบ Input ของ IPv6 ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่การเปิดเผยข้อมูล
อย่างไรก็ดีเชื่อแน่ว่าการเปิดเผยครั้งนี้จะเพิ่มความเสี่ยงให้อุปกรณ์ IoT ที่เชื่อมต่ออินเทอร์เน็ต และเพิ่มช่องทางให้แก่ Botnet แม้กระทั่งแฮ็กเกอร์ที่อยู่ในเครือข่ายเพื่อขยายวงการโจมตี ด้วยเหตุนี้เองทางองค์กรจึงต้องตระหนักถึงช่องโหว่เหล่านี้ แต่ที่น่าหนักใจคือการติดตามนั้นเป็นไปได้ยากเหลือเกินเพราะไลบรารีตัวนี้อาจไม่ได้ถูกใช้โดยตรงในอุปกรณ์ที่เราใช้ แต่อาจจะถูกรวมอยู่ในส่วนประกอบของซอฟต์แวร์อะไรสักอย่างหนึ่งที่เราคิดไม่ถึงเลย
ปัจจุบัน Treck ได้ยอมรับช่องโหว่ที่นักวิจัยได้เปิดเผยแล้ว โดย Ripple20 ไม่ได้หมายถึงจำนวนของช่องโหว่แต่นักวิจัยเชื่อว่าจะหลอกหลอนผู้ใช้งาน IoT ในปี 2020 และอนาคตอันใกล้นี้ (เหมือนกับตอนที่พบช่องโหว่ใน Urgent/11 ที่มีการใช้งานในวงกว้าง ปัจจุบันยังระบุอุปกรณ์ที่ได้รับผลกระทบไม่หมด) ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่เว็บไซต์ของ JSOF
วีดีโอสาธิตการโจมตี