Hundreds of Millions of IoT Devices at Risk Due to ‘Ripple20’ Vulnerabilities, Claim Security Researchers

Hundreds of Millions of IoT Devices at Risk Due to ‘Ripple20’ Vulnerabilities, Claim Security Researchers

सुरक्षा शोधकर्ताओं ने 19 शून्य-दिन की कमजोरियों के रूप में पाया है जो वैश्विक स्तर पर एक या दो नहीं बल्कि लाखों-करोड़ों इंटरनेट ऑफ थिंग्स (IoT) उपकरणों को प्रभावित करते हैं। Ripple20 नाम की भेद्यता, विभिन्न कंपनियों द्वारा पेश किए गए उपकरणों में मौजूद हैं, जिनमें कैटरपिलर, सिस्को, एचपी, इंटेल, रॉकवेल ऑटोमेशन, श्नाइडर इलेक्ट्रिक शामिल हैं। इसके अलावा, सुरक्षा खामियों से प्रभावित होने वाले गैजेट्स मेडिकल और ट्रांसपोर्टेशन से लेकर टेलिकॉम और रिटेल तक विभिन्न उद्योगों में काम कर रहे हैं।

इजरायल की सुरक्षा शोध फर्म JSOF के पास है प्रकट कि Ripple20 कमजोरियों की पहचान ओहियो स्थित सॉफ्टवेयर कंपनी ट्रेक द्वारा पेश किए गए कोड में की गई थी, जो बड़ी संख्या में IoT डिवाइस निर्माताओं को इसके समाधान प्रदान करता है। जेएसओएफ शोधकर्ताओं ने ट्रेक के निम्न-स्तरीय टीसीपी / आईपी सॉफ्टवेयर लाइब्रेरी में मुद्दों को पाया। कई महीनों में व्यापक, गहन विश्लेषण के माध्यम से खामियों का पता लगाया गया था, फर्म ने अपनी वेबसाइट पर एक विस्तृत पोस्ट में लिखा था।

JSOF द्वारा खोजी गई कमजोरियों का दावा है कि हमलावरों को नेटवर्क एड्रेस ट्रांसलेशन (NAT) और फायरवॉल को बायपास करने और उपयोगकर्ताओं से किसी भी स्पष्ट अनुमति की आवश्यकता के बिना दूर से उपकरणों को नियंत्रित करने की अनुमति दी जाती है। “यह कमजोरियों के निम्न-स्तरीय टीसीपी / आईपी स्टैक में होने के कारण है, और तथ्य यह है कि कई कमजोरियों के लिए, भेजे गए पैकेट वैध पैकेट के समान हैं, या, कुछ मामलों में पूरी तरह से वैध पैकेट हैं” JSOF के सुरक्षा शोधकर्ताओं ने कहा।

शोधकर्ताओं के अनुसार, प्रभावित पुस्तकालय विभिन्न औद्योगिक उपकरणों, बिजली ग्रिड, चिकित्सा उपकरण, होम ऑटोमेशन समाधान, राउटर, उद्यम उपकरण, और विभिन्न अन्य IoT प्रसाद में मौजूद हैं। एक वीडियो में एक सबूत की अवधारणा दी गई है जिसमें दिखाया गया है कि कैसे Ripple20 कमजोरियों का हमलावर द्वारा शोषण किया जा सकता है।

यूएस साइबरस्पेस एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) द्वारा मंगलवार को जारी एक एडवाइजरी में, ट्रेक कोड में खोजी गई 19 कमजोरियों में से छह को CVSS स्कोर पर सात और 10 के बीच रेट किया गया है, जहां 10 सबसे ज्यादा गंभीरता का प्रतिनिधित्व करते हैं। उनमें से दो ने 10 में से 10 रन बनाए हैं, जैसे कि विख्यात वायर्ड द्वारा।

ट्रेक ने यह पुष्टि करने के लिए एक बयान जारी किया कि इसने अपने ग्राहकों को सभी Ripple20 कमजोरियों के लिए पैच प्रदान किए थे।

की सटीक संख्या IoT बग से प्रभावित डिवाइस अस्पष्ट हैं। हालांकि, JSOF ने प्रभावित उपकरणों के सभी विक्रेताओं से संपर्क किया, जो फरवरी से शुरू होने की पुष्टि करने में सक्षम थे। उनमें से कई ने मुद्दों को ठीक करने के लिए सॉफ़्टवेयर अपडेट भी जारी किए। हालांकि, यह काफी संभावना है कि कुछ डिवाइस अभी भी कई महीनों तक अप्रकाशित रहेंगे, क्योंकि कुछ विक्रेताओं ने अपने संचालन को बंद कर दिया है, और विभिन्न उद्योग उपभोक्ताओं को नवीनतम पैच का उपयोग करके अपने उपकरणों को अपडेट करना बाकी है।

विक्रेताओं के बीच, हिमाचल प्रदेश तथा इंटेल ने वायर्ड की पुष्टि की है कि वे मुद्दों से अवगत थे और स्थिति की निगरानी कर रहे थे। इंटेल ने यह भी पुष्टि की कि उसने JSOF द्वारा इस महीने की शुरुआत में जारी एक अपडेट के माध्यम से रिपोर्ट की गई कमजोरियों में से चार को ठीक कर दिया था।


क्या Mi नोटबुक 14 श्रृंखला भारत के लिए सबसे सस्ती लैपटॉप रेंज है? हमने इस पर चर्चा की कक्षा का, हमारे साप्ताहिक प्रौद्योगिकी पॉडकास्ट, जिसे आप के माध्यम से सदस्यता ले सकते हैं Apple पॉडकास्ट या आरएसएस, एपिसोड डाउनलोड करें, या बस नीचे दिए गए प्ले बटन को हिट करें।

Source link

Leave a Reply

Your email address will not be published. Required fields are marked *