I dispositivi IoT sono di nuovo alla ribalta delle cronache dopo la scoperta di un pacchetto di 19 vulnerabilità zero-day, cumulativamente identificate come Ripple20. Riguardano una libreria di software TCP/IP di basso livello ampiamente utilizzata e sviluppata da Treck Inc. La scoperta è del laboratorio di ricerca JSOF, secondo cui queste falle interessano centinaia di milioni di dispositivi.

Le suddette vulnerabilità consentono l'esecuzione di codice remoto. Fra i problemi che possono causare ci sono il furto di dati da una stampante, variazioni nel comportamento di una pompa di infusione o di dispositivi di controllo industriale. Una delle vulnerabilità potrebbe consentire a un cyber criminale di introdursi all'interno di una rete aziendale, di nascondere codice dannoso all'interno di dispositivi e altro.

La pericolosità maggiore di Ripple20 è data dall'estrema difficoltà nel trovare e applicare le patch a tutte le istanze della libreria vulnerabile. Gli ostacoli in questo caso sono l'alto numero di prodotti interessati e la complessa catena di fornitura software non tracciata. La libreria vulnerabile è potenzialmente presente su prodotti realizzati da aziende che potrebbero non essere a conoscenza della falla.
Per gli stessi motivi, l'impatto di Ripple20 ha potenzialmente una vasta portata, amplificata dalla catena di approvvigionamento che ha causato una capillare diffusione della libreria software incriminata e, di conseguenza, delle sue vulnerabilità. Un effetto domino che parte da un solo componente fallato, relativamente piccolo, ma che può avere conseguenze su una vasta gamma di settori, applicazioni, aziende e persone.

In particolare, i ricercatori stimano conseguenze per i dispositivi IoT critici presenti in diverse multinazionali della classifica Fortune 500, tra cui HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter. Sono da includere molti altri importanti fornitori internazionali del settore medico, dei trasporti, del controllo industriale, dell'impresa, dell'energia (Oli&Gas), della vendita al dettaglio e in altri settori.

JSOF ha anche realizzato un proof-of-concept per dimostrare come potrebbero essere sfruttate le falle: per farsene un'idea basta guardare il video di questa pagina. Chi invece cercasse maggiori dettagli tecnici, può consultare la relazione tecnica dettagliata di due delle vulnerabilità segnalate.

La libreria TCP/IP di Treck 

I ricercatori hanno tentato di mappare la diffusione della libreria problematica. Hanno scoperto che negli ultimi due decenni questo software di rete di base si è diffuso in tutto il mondo, attraverso l'uso diretto e indiretto. Questo permette alla vulnerabilità originale infiltrarsi e mimetizzarsi quasi all'infinito.

JSOF, con il supporto di diversi team per la risposta alle emergenze informatiche (CERT), ha già contattato le aziende che si ritiene usino la libreria vulnerabile nei loro prodotti. Difficile che siano tutte, ma almeno una parte importante. Molti fornitori stanno già lavorando agli aggiornamenti, quindi consigliamo le aziende a monitorare gli avvisi di sicurezza per i prodotti che hanno in uso.

Ne sapremo di più ad agosto 2020, quando gli incaricati di JSOF parleranno diffusamente di queste falle in occasione della Black Hat USA 2020.