Er zijn kwetsbaarheden aanwezig in de geheugenhuishouding van een groot aantal commerciële en consumentenapparaten waardoor deze volledig kunnen overgenomen worden.

Het probleem

Miljoenen apparaten, van consumentenproducten zoals printers en IP-camera’s tot gespecialiseerde apparaten die in organisaties worden gebruikt, zoals videoconferentiesystemen en industriële controlesystemen (ICS), lopen risico vanwege kritieke kwetsbaarheden in een ingesloten TCP/IP-bibliotheek. Sommige van de tekortkomingen maken externe uitvoering van code (Remote Code Execution) via het netwerk mogelijk en kunnen leiden tot een volledige overname van het getroffen apparaat.

De kwetsbaarheden zijn gevonden door het Israëlische bedrijf JSOF dat gespecialiseerd is in de beveiliging van IoT en embedded apparaten. De kwetsbaarheden komen voort uit de implementatie van netwerkprotocollen ontwikkeld door het bedrijf Treck. De onderzoekers vonden 19 tekortkomingen, waarvan er verschillende als kritiek worden beoordeeld, en noemden ze Ripple20 omdat ze in 2020 werden gemeld en een rimpeleffect hebben in de embedded supply chain.

De omvang

Er zijn naar schatting meer dan 100 fabrikanten kwetsbaar voor deze tekortkomingen. Veel daarvan zijn de kwetsbaarheid nog aan het onderzoeken en moeten nog bevestigd worden. Tot de bevestigde leveranciers behoort HP, dat de bibliotheek in sommige van zijn printers gebruikt; Hewlett Packard Enterprise (HPE); Cisco; Intel, dat de stack gebruikt in de AMT out-of-band beheerfirmware voor Intel vPro-compatibele systemen; Schneider Electric, dat Treck gebruikt in zijn UPS-apparatuur (Uninterruptible Power Supply) en mogelijk andere producten; Rockwell Automation; fabrikanten van medische hulpmiddelen Baxter en B. Braun; fabrikant van bouw- en mijnbouwapparatuur Caterpillar; Amerikaanse onderzoeks- en ontwikkelingsorganisatie Sandia National Laboratories; IT-dienstverlener HCL Technologies; en onderdelenfabrikant Digi International.

Een zoekopdracht op Shodan naar 37 getroffen apparaatmodellen van 18 leveranciers, uitgevoerd door Forescout, bracht ongeveer 15.000 apparaten aan het licht die rechtstreeks met internet zijn verbonden en mogelijk door iedereen kunnen worden aangetast.

Wat kunt u doen?

Het is aan te raden om embedded devices te beschouwen als ‘untrusted’ toestellen en deze in een aparte segment in je netwerk te plaatsen. Op deze manier doe je aan impactbeheersing: als zich iets voordoet met dergelijke toestellen, dan kan je op die manier de impact beperken tot dat segment en blijft de rest van je netwerk gevrijwaard.

Maak daarom in je IT-netwerk een apart segment voor IP-camera’s, een apart segment voor netwerkprinters, een apart segment voor de management interfaces van server hardware, van UPSen, …

In je OT-netwerk is het aan te raden om de richtlijnen van IEC 62443 te volgen en je Industrial Control Systems op te delen in Zones en Conduits. Vervolgens ken je het gewenste Security Level (SL) toe aan elke zone en richt je de Security Capabilities van elk toestel zo in dat daaraan wordt voldaan.

Extra informatie

Vraag raad aan specialisten

Spinae staat alvast klaar om u te adviseren en te ondersteunen hierbij. Heeft u vragen of bekommernissen rond IT security of rond OT security? Neem contact op met onze experts, ze helpen u graag.