在6月中旬，帮助企业打造安全产品的以色列资安顾问公司JSOF，揭露了Ripple20漏洞，引发外界关注的是，这批漏洞导致大规模供应链曝险，影响非常广泛，包括工业、电网、医疗、家用、网络与企业联网装置都受影响。

这是因为，Ripple20漏洞存在于Treck所开发的嵌入式TCP/IP函式库，而该公司产品受到广泛的客户采用，包括Intel、HP、施耐德电机等多家业者。目前，Treck已经修补相关漏洞，并于官网上披露，而相关供应链的修补动向，更是企业用户关注的焦点，

目前已确认15家业者受影响，修补动向成关注焦点

为了调查Ripple20漏洞的影响，最初，JSOF列出了8家确认为Treck的客户名单，并有超过60家尚待确认，到了6月22日，我们看到JSOF公布的已确认Treck客户名单，已经达到15家业者，包括：B.Braun、Baxter、Carestream、Caterpillar、Cisco（Starent Network）、Digi、Green Hills、HCL Tech、HP、HPE、Intel、Maxlinear（HLFN）、Rockwell、Schneider Electric/APC、Teradici，还有53家业者待确认。

值得企业关注的是，目前已有几家厂商发布资安公告或新版固件修补资讯，提醒企业用户或设备业者应尽快修补。

例如，HP针对旗下数十款HP与Saumsung打印机产品发布更新，Intel也说明多款产品受影响，建议用户升级至已修补的最新版。施耐德电机也建议应限制对其设备的存取，降低风险。

不只是这些产品用户要注意，对于其他尚未确认受影响的50多家业者，后续是否公布受影响，并发布更新修补资讯，也要持续留意。

 

清查受到Ripple20漏洞影响的设备
多家厂商陆续发出公告

关于Ripple20漏洞的影响，根据6月22日JSOF发布已确认为Treck的客户名单，目前共有15家业者，包括B.Braun、Baxter、Carestream、Caterpillar、Cisco（Starent Network）、Digi、Green Hills、HCL Tech、HP、HPE、Intel、Maxlinear（HLFN）、Rockwell、Schneider Electric/APC与Teradici。

Vendors-v5-June18

Vendors-v6-June18

Vendors-v9-June22

由于JSOF会持续确认有那些厂商确定是Treck的客户，因此，我们可以从JSOF在Ripple20网页上陆续更新的资讯，来确认受影响的业者。网页上，JSOF已经将“影响或可能影响业者资讯”汇整成表格并发布成图片公开在网站上，而我们可以凭借图片档的命名，来找到之前更新的版本。特别的是，在近期的更新名单中，新增的业者是Teradici与Carestream，不过，先前已加入确认名单的Sandia National Labs，到了6月22日v9版名单中则被删除。

接下来，我们将根据这里的公告，针对已确认采用Treck的业者，整理这些厂商因应Ripple20漏洞相关消息(至6月22日止)，整理如下：

IT设备（依厂牌英文字母排列）

厂牌：Cicso
产品：Cisco GGSN Gateway GPRS Support Node、MME Mobility Management Entity、PGW Packet Data Network Gateway与System Architecture Evolution Gateway (SAEGW)
资安公告与修补状况：Cisco在6月17日发布资安公告，说明目前调查已有4款路由器与交换器产品受影响，包括Cisco GGSN Gateway GPRS Support Node、MME Mobility Management Entity、PGW Packet Data Network Gateway与System Architecture Evolution Gateway (SAEGW)，不过目前还没释出更新修补，另外他们也指出还有4款产品正在调查是否也受影响。

网址：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC

 

厂牌：HP
产品：激光打印机系列产品HP Laser/LaserJet Pro/Neverstop Lase，以及Samsung proXpress/MultiXpress：喷墨打印机系列产品HP DeskJet/OfficeJet/OfficeJet Pro/Ink Tank/Smart Tank。
资安公告与修补状况：HP在6月16发布资安公告，说明该公司旗下多款打印机产品都受此漏洞影响，而该公司已经释出修补固件，用户应尽速前往更新。

网址：https://support.hp.com/si-en/document/c06640149

 

厂牌：HPE
产品：N/A
资安公告或修补动向：N/A

 

OT设备（依厂牌英文字母排列）

厂牌：B. Braun
产品：Outlook 400ES
资安公告与修补状况：该公司在6月16日发布资安公告，当中说明B. Braun Outlook 400ES安全输液泵系统中使用了Treck的产品。
他们并指出已从Treck收到24个修补程式，用以解决该软件中的漏洞。而该公司对这些修补程式进行分析后，发现其中20个修补不适用Outlook 400ES产品，因为该产品不容易受到这些漏洞的影响，而他们会针对剩下4个修补程式进行分析，以确定每个漏洞的影响范围与严重性。

相关资安公告网址：https://www.bbraunusa.com/content/dam/b-braun/us/website/customer_communications/Skyline%20Response_Outlook_6.9.2020_FINAL1.pdf

 

厂牌：Baxter
产品：无线电池模组35083 -b、35162 -b/g、35195 -a/b/g/n、35223 -a/b/g/n，以及36010–a/b/g/n。
资安公告与修补状况：Baxter在6月16日发布产品资安公告，当中说明该公司旗下Spectrum Infusion System的无线电池模组，使用了Digi Net + OS操作系统，因此受到Treck这些漏洞的影响。根据Baxter的清查，目前受影响的无线电池模组，包括35083 -b、35162 -b/g、35195 -a/b/g/n、35223 -a/b/g/n，以及36010–a/b/g/n。目前，Baxter已从软件供应商（Digi）获得修补程式，正在验证与确认阶段，他们请用户关注后续讯息发布，同时也提供缓解措施。

相关资安公告网址：https://www.baxter.com/sites/g/files/ebysai746/files/2020-06/BulletinSpectrumDigiTreck%20%28003%29.pdf

 

厂牌：Carestream
产品：CR975、Directview Max CR System、Directview Classic CR System、Directview Elite CR System、HPX Pro、HPX-One
资安公告与修补状况：医疗CareStream在6月18日发布资安公告，他们说明，若要利用Ripple20漏洞，攻击者需要从医院网络存取嵌入式操作系统的设备，但以该公司的实作上，设备是直接连至Windows电脑，如果用户都遵循此作法，风险很低。同时，他们也列出了可能受此漏洞影响的产品，包括CR975、Directview Max CR System、Directview Classic CR System、Directview Elite CR System、HPX Pro、HPX-One，另外还有29款产品正在清查中。他们并预告将在6月26日更新状况。

相关资安公告网址：https://www.carestream.com/nl/nl/services-and-support/cybersecurity-and-privacy

 

厂牌：Caterpillar
产品：N/A
资安公告与修补状况：Caterpillar在6月16日仅发出简短的资安公告，表示正在确认这批漏洞对于产品的冲击，但并未说明清查与修补状态，还不知道有那些产品受影响。

相关资安公告网址：https://www.cat.com/en_US/support/technology/connected-solutions-principles/security/caterpillar-cybersecurity-advisory.html

 

厂牌：Rockwell Automation
产品：N/A
资安公告与修补状况：N/A

 

厂牌：Schneider Electric
产品：N/A
资安公告与修补状况：施耐德电机在6月16日发出资安公告，尚未说明那些产品受影响，但表示可透过限制对其设备的存取来减轻遭受攻击的风险。

相关资安公告网址：https://download.schneider-electric.com/files?p_enDocType=Technical+leaf...

 

软件与其他设备（依厂牌英文字母排列）

厂牌：Digi
产品：Connect SP/ME/ES/EM/WME/9C/9P、ConnectPort X4 (all variants)、ConnectPort X2 (NOT X2e)、ConnectPort TS (Not LTS)、   AnywhereUSB (excluding Plus)、NetSilicon 7520/9210/9215/9360/9750，以及任何使用NET+OS 7.X 的embedded产品
资安公告与修补状况：Digi在6月16日发布资安公告，向用户说明Ripple20漏洞对该公司产品的影响与如何修补，从公告内容来看，在该公司评估后受影响的产品相当多，而该公司也在4月20日就已发布新版修补，让使用它们元件的产品业者修补。

相关资安公告网址：https://www.digi.com/support/knowledge-base/digi-international-security-...

厂牌：Green Hills
产品：N/A
资安公告与修补状况：对于Treck函式库的漏洞，Green Hills Software在网页上公告GHnet v2 Product Security Advisory的讯息，他们强调，尽管该公司GHnet v2产品是基于Treck，但两者并不完全相同，它们之前即有改进并增加新功能，因此这些漏洞对GHnet v2的影响并不大。

相关资安公告网址：https://support.ghs.com/psirt/PSA-2020-05/

 

厂牌：HCL Technologies
产品：N/A
资安公告与修补状况：N/A

 

厂牌：Intel
产品：Intel Converged Security and Manageability Engine(CSME) 、Server Platform Services(SPS)、Trusted Execution Engine(TXE), Active Management Technology(AMT)、Standard Manageability(ISM)与Dynamic Application Loader (DAL)
资安公告或修补动向：Intel在6月9日发布安全公告，指出固件将会遭受提权、DoS与资讯泄漏的风险，影响旗下多项Intel CSME、 Intel AMT、Intel ISM、Intel DAL与Intel DAL软件，他们在漏洞揭露前已针对受影响产品，发布新版修补来减轻这些潜在弱点的影响。

相关资安公告网址：https://www.intel.com/content/www/us/en/security-center/advisory/intel-s...

 

厂牌：Maxlinear
产品：N/A
资安公告与修补状况：：N/A

 

厂牌：Teradici
产品：Tera2 Zero Client firmware、Tera2 Remote Workstation Card 
资安公告与修补状况：软件公司Teradici在6月17日发布资安公告，说明旗下共有两款产品受到Ripple20漏洞的影响，而他们已经发布新版修补，

相关资安公告网址：https://advisory.teradici.com/security-advisories/56/