All’inizio di questa settimana, i ricercatori di sicurezza informatica del JSOF hanno rivelato una serie di 19 vulnerabilità zero-day, note collettivamente come Ripple20, presenti all’interno di una libreria di software TCP/IP di basso livello utilizzata da centinaia di milioni di dispositivi, tra cui numerosi dispositivi OT (Operational Technology). Le vulnerabilità pubblicate potrebbero consentire a un avversario di condurre attacchi denial-of-service e potrebbero consentire l'esecuzione di codice remoto sui dispositivi interessati.
Claroty Ha assistito il team di ricerca di JSOF fornendo servizi di consulenza e offrendo accesso al nostro ampio ambiente di laboratorio di sistemi di controllo industriale (ICS), supportando così gli sforzi per mappare quali dispositivi sono suscettibili alle vulnerabilità Ripple20 . Per contribuire alla mitigazione di queste vulnerabilità, Claroty è il processo di emissione di un pacchetto di minacce, che includerà firme e correlazioni CVE basate su tutti gli avvisi dei fornitori disponibili.
Le vulnerabilità divulgate influenzano lo stack di rete dei dispositivi che utilizzano lo stack IP incorporato diTreck , proprio come le vulnerabilità Urgent/11 divulgate l’anno scorso. E poiché questo tipo di attacco sta influenzando le librerie di comunicazione di base su dispositivi vulnerabili, l'autenticazione di solito non è richiesta.
L’intero ambito dei prodotti interessati dalle Ripple20 vulnerabilità non è ancora chiaro e le divulgazioni pubbliche dei diversi fornitori sono attese nelle prossime settimane. Secondo JSOF, i fornitori interessati vanno dai piccoli negozi boutique alle grandi aziende tra cui HP, Schneider Electric, Intel , Rockwell Automation, Caterpillar e Baxter, tra gli altri. Più in generale, JSOF identifica i settori industriale, medico, retail, dei trasporti, petrolifero e del gas, dell’aviazione e del governo come particolarmente vulnerabili alle Ripple20 vulnerabilità, oltre alle reti elettriche, agli elettrodomestici, ai dispositivi di rete e ad altri dispositivi connessi all’IoT.
Per Ripple20 sono stati emessi i seguenti avvisi:
Consigli CERT: ICS CERT, CERTCC ,JPCERT/CC, CERT-IL
Consigli per i fornitori :Intel ,HP, Schneider Electric, Caterpillar,B. Braun ,Green Hills, Rockwell Automation,C isco
Il team Claroty continuerà a monitorare la situazione e, se necessario, fornirà aggiornamenti non appena saranno disponibili nuove informazioni. Per ulteriori informazioni sulla valutazione e la mitigazione dei rischi, fare clic qui.
La mancanza di convalida del certificato SSL in BlueStacks v5.20 consente agli aggressori di eseguire un attacco man-it-the-middle e ottenere informazioni sensibili.
CVSS v3: 3.9
Il protocollo di comunicazione utilizzato tra client e server presentava un difetto che poteva portare un utente autenticato a eseguire un attacco di esecuzione del codice remoto.
Per quanto a conoscenza di Axis, ad oggi non esistono exploit noti e Axis non è consapevole del fatto che questo sia stato sfruttato. Axis non fornirà informazioni più dettagliate sulla vulnerabilità.
Axis ha rilasciato una patch per questo difetto con le seguenti versioni:
CVSS v3: 9.0
Il protocollo di comunicazione utilizzato tra client e server aveva un difetto che poteva essere sfruttato per eseguire un uomo nel mezzo dell'attacco.
Per quanto a conoscenza di Axis, ad oggi non esistono exploit noti e Axis non è consapevole del fatto che questo sia stato sfruttato. Axis non fornirà informazioni più dettagliate sulla vulnerabilità.
Axis ha rilasciato una patch per questo difetto con la seguente versione:
CVSS v3: 6.8
Il protocollo di comunicazione utilizzato tra il processo del server e il controllo del servizio presentava un difetto che potrebbe portare a un'escalation dei privilegi locali.
Per quanto a conoscenza di Axis, ad oggi non esistono exploit noti e Axis non è consapevole del fatto che questo sia stato sfruttato. Axis non fornirà informazioni più dettagliate sulla vulnerabilità.
Axis ha rilasciato una patch per questo difetto con la seguente versione:
CVSS v3: 4.8
Il server AXIS Camera Station presentava un difetto che consentiva di bypassare l'autenticazione normalmente richiesta.
Per quanto a conoscenza di Axis, ad oggi non esistono exploit noti e Axis non è consapevole del fatto che questo sia stato sfruttato. Axis non fornirà informazioni più dettagliate sulla vulnerabilità. Apprezziamo gli sforzi dei ricercatori di sicurezza e degli hacker etici per migliorare la sicurezza nei prodotti, nelle soluzioni e nei servizi di Axis.
Axis ha rilasciato una patch per questo difetto con le seguenti versioni:
CVSS v3: 5.3
