在6月中旬,帮助企业打造安全产品的以色列资安顾问公司JSOF,揭露了Ripple20漏洞,引发外界关注的是,这批漏洞导致大规模供应链曝险,影响非常广泛,包括工业、电网、医疗、家用、网络与企业联网装置都受影响。
这是因为,Ripple20漏洞存在于Treck所开发的嵌入式TCP/IP函式库,而该公司产品受到广泛的客户采用,包括Intel、HP、施耐德电机等多家业者。目前,Treck已经修补相关漏洞,并于官网上披露,而相关供应链的修补动向,更是企业用户关注的焦点,
目前已确认15家业者受影响,修补动向成关注焦点
为了调查Ripple20漏洞的影响,最初,JSOF列出了8家确认为Treck的客户名单,并有超过60家尚待确认,到了6月22日,我们看到JSOF公布的已确认Treck客户名单,已经达到15家业者,包括:B.Braun、Baxter、Carestream、Caterpillar、Cisco(Starent Network)、Digi、Green Hills、HCL Tech、HP、HPE、Intel、Maxlinear(HLFN)、Rockwell、Schneider Electric/APC、Teradici,还有53家业者待确认。
值得企业关注的是,目前已有几家厂商发布资安公告或新版固件修补资讯,提醒企业用户或设备业者应尽快修补。
例如,HP针对旗下数十款HP与Saumsung打印机产品发布更新,Intel也说明多款产品受影响,建议用户升级至已修补的最新版。施耐德电机也建议应限制对其设备的存取,降低风险。
不只是这些产品用户要注意,对于其他尚未确认受影响的50多家业者,后续是否公布受影响,并发布更新修补资讯,也要持续留意。
清查受到Ripple20漏洞影响的设备
多家厂商陆续发出公告
关于Ripple20漏洞的影响,根据6月22日JSOF发布已确认为Treck的客户名单,目前共有15家业者,包括B.Braun、Baxter、Carestream、Caterpillar、Cisco(Starent Network)、Digi、Green Hills、HCL Tech、HP、HPE、Intel、Maxlinear(HLFN)、Rockwell、Sandia National Labs、Schneider Electric/APC、Teradici。
Vendors-v5-June18 |
Vendors-v6-June18 |
Vendors-v9-June22 |
由于JSOF会持续确认有那些厂商确定是Treck的客户,因此,我们可以从JSOF在Ripple20网页上陆续更新的资讯,来确认受影响的业者。网页上,JSOF已经将“影响或可能影响业者资讯”汇整成表格并发布成图片公开在网站上,而我们可以凭借图片档的命名,来找到之前更新的版本。特别的是,在近期的更新名单中,新增的业者是Teradici与Carestream,不过,先前已加入确认名单的Sandia National Labs,到了6月22日v9版名单中则被删除。
接下来,我们将根据这里的公告,针对已确认采用Treck的业者,整理这些厂商因应Ripple20漏洞相关消息(至6月22日止),整理如下:
IT设备(依厂牌英文字母排列)
厂牌:Cicso
产品:Cisco GGSN Gateway GPRS Support Node、MME Mobility Management Entity、PGW Packet Data Network Gateway与System Architecture Evolution Gateway (SAEGW)
资安公告或修补动向:Cisco在6月17日发布资安公告,说明目前调查已有4款路由器与交换器产品受影响,包括Cisco GGSN Gateway GPRS Support Node、MME Mobility Management Entity、PGW Packet Data Network Gateway与System Architecture Evolution Gateway (SAEGW),不过目前还没释出更新修补,另外他们也指出还有4款产品正在调查是否也受影响。
网址:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC
厂牌:HP
产品:激光打印机系列产品HP Laser/LaserJet Pro/Neverstop Lase,以及Samsung proXpress/MultiXpress:喷墨打印机系列产品HP DeskJet/OfficeJet/OfficeJet Pro/Ink Tank/Smart Tank。
资安公告或修补动向:HP在6月16发布资安公告,说明该公司旗下多款打印机产品都受此漏洞影响,而该公司已经释出修补固件,用户应尽速前往更新。
网址:https://support.hp.com/si-en/document/c06640149
厂牌:HPE
产品:N/A
资安公告或修补动向:N/A
OT设备(依厂牌英文字母排列)
厂牌:B. Braun
产品:Outlook 400ES
资安公告或修补动向:该公司在6月16日发布资安公告,当中说明B. Braun Outlook 400ES安全输液泵系统中使用了Treck的产品。
他们并指出已从Treck收到24个修补程式,用以解决该软件中的漏洞。而该公司对这些修补程式进行分析后,发现其中20个修补不适用Outlook 400ES产品,因为该产品不容易受到这些漏洞的影响,而他们会针对剩下4个修补程式进行分析,以确定每个漏洞的影响范围与严重性。
相关资安公告网址:https://www.bbraunusa.com/content/dam/b-braun/us/website/customer_communications/Skyline%20Response_Outlook_6.9.2020_FINAL1.pdf
厂牌:Baxter
产品:无线电池模组35083 -b、35162 -b/g、35195 -a/b/g/n、35223 -a/b/g/n,以及36010–a/b/g/n。
资安公告或修补动向:Baxter在6月16日发布产品资安公告,当中说明该公司旗下Spectrum Infusion System的无线电池模组,使用了Digi Net + OS操作系统,因此受到Treck这些漏洞的影响。根据Baxter的清查,目前受影响的无线电池模组,包括35083 -b、35162 -b/g、35195 -a/b/g/n、35223 -a/b/g/n,以及36010–a/b/g/n。目前,Baxter已从软件供应商(Digi)获得修补程式,正在验证与确认阶段,他们请用户关注后续讯息发布,同时也提供缓解措施。
相关资安公告网址:https://www.baxter.com/sites/g/files/ebysai746/files/2020-06/BulletinSpectrumDigiTreck%20%28003%29.pdf
厂牌:Carestream
产品:CR975、Directview Max CR System、Directview Classic CR System、Directview Elite CR System、HPX Pro、HPX-One
资安公告或修补动向:医疗CareStream在6月18日发布资安公告,他们说明,若要利用Ripple20漏洞,攻击者需要从医院网络存取嵌入式操作系统的设备,但以该公司的实作上,设备是直接连至Windows电脑,如果用户都遵循此作法,风险很低。同时,他们也列出了可能受此漏洞影响的产品,包括CR975、Directview Max CR System、Directview Classic CR System、Directview Elite CR System、HPX Pro、HPX-One,另外还有29款产品正在清查中。他们并预告将在6月26日更新状况。
相关资安公告网址:https://www.carestream.com/nl/nl/services-and-support/cybersecurity-and-privacy
厂牌:Caterpillar
产品:N/A
资安公告或修补动向:Caterpillar在6月16日仅发出简短的资安公告,表示正在确认这批漏洞对于产品的冲击,但并未说明清查与修补状态,还不知道有那些产品受影响。
相关资安公告网址:https://www.cat.com/en_US/support/technology/connected-solutions-principles/security/caterpillar-cybersecurity-advisory.html
厂牌:Rockwell Automation
产品:N/A
资安公告或修补动向:N/A
厂牌:Schneider Electric
产品:N/A
资安公告或修补动向:施耐德电机在6月16日发出资安公告,尚未说明那些产品受影响,但表示可透过限制对其设备的存取来减轻遭受攻击的风险。
相关资安公告网址:https://download.schneider-electric.com/files?p_enDocType=Technical+leaf...
软件与其他设备(依厂牌英文字母排列)
厂牌:Digi
产品:Connect SP/ME/ES/EM/WME/9C/9P、ConnectPort X4 (all variants)、ConnectPort X2 (NOT X2e)、ConnectPort TS (Not LTS)、 AnywhereUSB (excluding Plus)、NetSilicon 7520/9210/9215/9360/9750,以及任何使用NET+OS 7.X 的embedded产品
资安公告或修补动向:Digi在6月16日发布资安公告,向用户说明Ripple20漏洞对该公司产品的影响与如何修补,从公告内容来看,在该公司评估后受影响的产品相当多,而该公司也在4月20日就已发布新版修补,让使用它们元件的产品业者修补。
相关资安公告网址:https://www.digi.com/support/knowledge-base/digi-international-security-...
厂牌:Green Hills
产品:N/A
资安公告或修补动向:对于Treck函式库的漏洞,Green Hills Software在网页上公告GHnet v2 Product Security Advisory的讯息,他们强调,尽管该公司GHnet v2产品是基于Treck,但两者并不完全相同,它们之前即有改进并增加新功能,因此这些漏洞对GHnet v2的影响并不大。
相关资安公告网址:https://support.ghs.com/psirt/PSA-2020-05/
厂牌:HCL Technologies
产品:N/A
资安公告或修补动向:N/A
厂牌:Intel
产品:Intel Converged Security and Manageability Engine(CSME) 、Server Platform Services(SPS)、Trusted Execution Engine(TXE), Active Management Technology(AMT)、Standard Manageability(ISM)与Dynamic Application Loader (DAL)
资安公告或修补动向:Intel在6月9日发布安全公告,指出固件将会遭受提权、DoS与资讯泄漏的风险,影响旗下多项Intel CSME、 Intel AMT、Intel ISM、Intel DAL与Intel DAL软件,他们在漏洞揭露前已针对受影响产品,发布新版修补来减轻这些潜在弱点的影响。
相关资安公告网址:https://www.intel.com/content/www/us/en/security-center/advisory/intel-s...
厂牌:Maxlinear
产品:N/A
资安公告或修补动向:N/A
厂牌:Teradici
产品:Tera2 Zero Client firmware、Tera2 Remote Workstation Card
资安公告或修补动向:软件公司Teradici在6月17日发布资安公告,说明旗下共有两款产品受到Ripple20漏洞的影响,而他们已经发布新版修补,
相关资安公告网址:https://advisory.teradici.com/security-advisories/56/
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09