一般的に使用されている TCP/IP ソフトウェア スタックの多数の欠陥により、数千万台の IoT デバイス、医療機器、産業用制御システム、その他のネットワーク接続機器がリモート攻撃の危険にさらされている可能性があると主張されています。
これらの脆弱性は「Ripple20」と名付けられています。昨今、マーケティング活動なしにバグが明らかになるなんてありえない、というわけです。情報セキュリティ団体JSOFによって発見・報告されました。同チームが今週公開したセキュリティホールには、米国企業Treckが組み込みシステム向けに開発したTCP/IPスタックに存在する、CVEリストに登録されている19件のバグが簡単に記載されています。
プログラミング上の欠陥の中には、リモートからホスト上で任意のコードを実行するために悪用されるものもあると言われており、そのため、脆弱な機器をネットワーク経由で乗っ取ることも、機器がパブリックネットからアクセス可能な場合はインターネット経由で乗っ取ることも可能だという。
JSOFはこの欠陥について、「攻撃者は組み込みデバイス内に悪意のあるコードを何年も隠蔽できる可能性がある」と述べている。「脆弱性の一つは、外部からネットワーク境界への侵入を可能にする可能性がある。これは潜在的なリスクのほんの一部に過ぎない」
JSOF は、脆弱なスタックが数千万台の IoT やネットワーク接続組み込みデバイスで使用されていると主張した。この欠陥は 10 年以上前から存在し、数十社のベンダーによって採用されていた可能性がある。
調査によると、ビジネスアプリケーションの10個中9個に、古く、サポートされておらず、安全でないオープンソースコードが含まれている。
続きを読む
「このソフトウェアライブラリは広範囲に拡散しており、その追跡は大きな課題となっていました」とJSOFチームは述べています。「Treck社のTCP/IPライブラリの配布経路を辿っていくと、この基本的なネットワークソフトウェアが過去20年間にわたり、直接的および間接的な利用を通じて世界中に拡散してきたことが判明しました。」
脆弱なスタックを使用して製品を出荷したことが確認されているメーカーには、Intel、HP、Rockwell などがあり、バグハンターは、Broadcom、Cisco、EMC、Nvidia、Texas Instruments、Marvell など、さらに多くのベンダーが Ripple20 の騒動に巻き込まれると考えています。
「脆弱性のほとんどは真のゼロデイであり、そのうち4つは長年にわたる定期的なコード変更の一環として解消されたものの、影響を受けるデバイスの一部では依然として未解決のままです」とJSOFチームは述べています。「多くの脆弱性は、スタック構成の変更や長年にわたるコード変更により、複数の亜種が存在します。」
Treck TCP/IPスタックの最新バージョン(6.0.1.66)にデバイスをアップデートすることで、これらのバグは修正されます。ソフトウェアのメーカーは声明で次のように述べています。
明るい面としては、これらの脆弱性が実際に悪用されたという報告がないため、ハードウェアベンダーは修正されたスタックでファームウェアイメージを再構築し、世界中のマシンに配信する時間があります。しかし、これが広範囲に及ぶ可能性は低いことは誰もが承知しています。メーカーが古い機器のアップデートを拒否したり、気にしなかったりするかもしれませんし、消費者がセキュリティアップデートの必要性を認識しておらず、気にも留めないかもしれません。また、一部のガジェットは現場でアップグレードできない可能性もあります。
欠陥発見者らは、毎年開催される Black Hat USA セキュリティ カンファレンスのオンライン版で 8 月に自分たちの成果を発表する予定であり、その際に脆弱性に関する情報を明らかにすると約束した。®
