總部位於辛辛那提（Cincinnati）的軟件公司Treck 在1997 年推出了一個小型庫，在過去二十多年中被廣泛使用，並集成到無數企業級和消費級產品中。不過今天，網絡安全專家披露了存在於該小型庫中的19 個漏洞，統稱為Ripple20。

預估有“數億”台設備受到影響，涵蓋智能家居設備、電網設備、醫療系統、工業裝備、運輸系統、打印機、路由器、移動/衛星通信設備、數據中心設備、商用飛機設備、各種企業解決方案等產品。

而且安全專家還擔心，由於軟件供應鏈複雜或未被跟踪，所有使用該庫的產品極有可能仍未打上補丁。導致問題如此嚴重的原因是，這個小型庫不僅被設備廠商直接使用，而且還被集成到其他軟件套件中。這意味著許多公司甚至不知道他們正在使用這段特殊的代碼，而且這個存在漏洞的庫名甚至不會出現在它們的代碼manifests 中。

該庫能夠實現一個輕量級TCP/IP協議棧。幾十年來，很多公司一直在使用這個庫，以允許他們的設備或軟件通過TCP/IP連接連接到互聯網。

2019年9月，來自以色列耶路撒冷的網絡安全諮詢公司JSOF研究人員披露了Treck TCP/IP協議棧的問題。JSOF團隊一直與不同國家的CERT（計算機應急小組）合作，協調漏洞披露和修補過程。

上週在接受外媒ZDNet 採訪的時候，本次活動涉及到很多方面，比如讓Treck加入，確保Treck按時打好補丁，然後找到所有易受影響的設備，並聯繫到每個受影響的供應商。

JSOF的首席執行官Shlomi Oberman告訴ZDNet，努力是成功的。Oberman稱讚CERT/CC在與所有受影響的供應商協調漏洞披露過程中發揮了重要作用。

Oberman表示雖然Treck 剛開始並不承認，但現在已經積極行動起來，為所有Ripple20漏洞提供補丁。

但JSOF表示，識別所有易損設備的工作尚未完成。研究人員表示，他們將這19個漏洞命名為Ripple20，並不是因為它們一開始就是20個漏洞，而是因為它們將在2020年以及未來幾年在物聯網領域引起的漣漪效應。