Asociácia kybernetickej bezpečnosti (AKB) v spolupráci s klastrom Industry4UM dávajú podnikom a firmám do pozornosti informácie o ohrozeniach súborom zraniteľností Ripple 20. Podľa odborníkov je vysoko pravdepodobné, že sa hrozby týkajú aj infraštruktúr slovenských podnikov, čo znamená, že významné množstvo priemyselných systémov dnes nie je voči nim dostatočne odolné. Zraniteľnosti umožňujú útočníkom získať plnú kontrolu nad zariadeniami, upraviť ich správanie, vyradiť z prevádzky, či použiť ako odrazový mostík k ďalším útokom vo vnútornej sieti.
Čo je Ripple 20?
Ripple 20 je súbor 19 zraniteľností v softvérovej knižnici na obsluhu sieťových protokolov TCP/IP. „Deravá“ knižnica od spoločnosti Treck je použitá v produktoch približne stovky dodávateľov, a vyskytuje sa v stovke miliónov zariadení po celom svete. Zariadenia s týmito zraniteľnosťami sa vo významnom množstve nachádzajú aj v slovenských podnikoch a firmách.
V čom je rizikovosť Ripple 20 výnimočná?
Ripple 20 je nebezpečný rozsahom svojho vplyvu, ktorý je znásobený faktorom dodávateľského reťazca. Je výnimočný tým, že sa týka softvérovej knižnice, ktorú do svojich produktov zakomponovali aj mnohí veľkí výrobcovia a globálni hráči. Aj keď ste možno o firme Treck a ich softvéri nikdy nepočuli, je jednoducho pravdepodobné a možné, že ju využíva vaša tlačiareň, server, záložný zdroj elektrickej energie, alebo PLC niekde vo výrobe.
Deravá knižnica je prítomná v rôznych sektoroch
Zraniteľnosti objavil izraelský tím JSOF v septembri 2019. Po odhalení problémov začala na jar 2020 spoločnosť TRECK uverejňovať opravné verzie svojej knižnice. Dá sa ale predpokladať, že väčšina zariadení na trhu, ktoré obsahujú zraniteľné implementácie protokolov TCP/IP od firmy TRECK, nie sú doposiaľ aktualizované, a sú naďalej málo odolné.
Názov “ripple” prekladáme do významu vlna (napr. vlna šíriaca sa po vodnej hladine). Výstižne popisuje mieru a intenzitu zraniteľnosti, pretože komunikačné protokoly sú veľmi dobre využiteľné na jej ďalšie šírenie. Z pohľadu výrobného priemyslu, pre ktorý je typické fungovanie na báze hodnotových reťazcov, a v rámci ktorých firmy spolu intenzívne komunikujú, tak nadobúda ďalší znepokojujúci význam.
Aké to je s výskytom Ripple 20 na Slovensku?
Predbežné scanovania potvrdzujú, že produkty mnohých identifikovaných dodávateľov sa na Slovensku vyskytujú s verziami softvéru, ktoré ešte nie sú, v súvislosti so zraniteľnosťami Ripple 20, bezpečné. Možnosti vykonávania takéhoto skenovania bez aktívnej účasti samotných firiem sú však veľmi limitované, a preto môže byť realita podstatne hrozivejšia. Všeobecne konštatujeme, že obrovský rozsah výskytu Ripple 20 môže spôsobiť vlnu kybernetických útokov, ktoré sa budú tieto zraniteľnosti snažiť využiť. Vzhľadom na charakter niektorých zraniteľností môžu byť spôsobené škody výrazné.
Čo je potrebné urobiť?
- Identifikovať, či sa zraniteľnosť vo firme vyskytuje. Nielen k aktuálnemu dňu, ale optimálne trvalým monitoringom, ktorý sleduje celú škálu zraniteľností
- Identifikovať rozsah dopadu na zariadenia, technológie a systémy
- Po zistení rozsahu dopadu určiť riziká pre jednotlivé systémy – nie každý systém bude mať pre nás rovnakú mieru rizika
- Zvoliť akým spôsobom riziko ošetríme – nie ku každému systému sa potrebujeme chovať rovnako / nie všetky sú kritické
- Zaplátať stanovené systémy
- Zvážiť nastavenie/nasadenie trvalého monitoringu a vyhodnocovania zraniteľností relevantných komponentov
- Revidovať proces pre identifikáciu zraniteľností a aplikovanie záplat na základe skúsenosti s Ripple 20
ako reagovať na riziká súvisiace so zraniteľnosťami Ripple 20
Čo je zmyslom tohto oznamu?
Chceme predovšetkým upozorniť bezpečnostných pracovníkov v relevantných sektoroch a v spoločnostiach, aby zvážili riziká, ktoré táto zraniteľnosť priniesla, a vykonali potrebné kroky na ich odstránenie. Členmi AKB a Industry4UM sú experti, ktorí dokážu poskytnúť priemyselným firmám podporu pri týchto krokoch.
- Vzhľadom na prepojenosť firiem dodávateľskými vzťahmi je zmysluplné, ak firmy, ktoré sa budú snažiť identifikovať Ripple 20 vo svojich systémoch v prípade potvrdenia výskytu verzií softvéru obsahujúcich uvedené zraniteľnosti, nielen vykonajú všetky primerané opatrenia na ich ošetrenie, ale súčasne upovedomia všetkých partnerov, s ktorými majú pravidelnú online komunikáciu o tom, že by mali vykonať podobné kroky
- AKB v spolupráci s klastrom Industry4UM zriadila osobitnú webovú stránku, na ktorej sa budú uvádzať informácie o identifikovaných produktoch v slovenských podnikoch, ktoré obsahujú zraniteľnosti Ripple 20, aby sa tak zvýšili šance na ich nájdenie v ďalších podnikoch. Miera konkrétnosti týchto informácií a spôsob ich odovzdávania budú starostlivo, vysoko diskrétne nastavené, aby sme “neotvorili dvere” útočníkom. Link na túto webstránku je https://www.akb.sk/ripple20/
- AKB vytvára dočasný tím, ktorý bude poskytovať odbornú pomoc priemyselným firmám. Rozsah a typy tejto pomoci, ako aj podmienky jej poskytovania, sú predmetom ďalších úvah. Počítame s úzkou spoluprácou s firmami, ktoré poskytujú služby v oblasti kybernetickej bezpečnosti na komerčnej báze. S odborným tímom sa môžete spojiť cez kontaktný formulár na https://www.akb.sk/ripple-20-contact/