Las vulnerabilidades de Ripple20 perseguirán el panorama de IoT en los próximos años


Ondulación20

Los expertos en seguridad cibernética han revelado hoy 19 vulnerabilidades en una pequeña biblioteca diseñada en los años 90 que ha sido ampliamente utilizada e integrada en innumerables productos de nivel empresarial y de consumo durante los últimos 20 años.

Los productos afectados incluyen dispositivos domésticos inteligentes, equipos de purple eléctrica, sistemas de salud, equipos industriales, sistemas de transporte, impresoras, enrutadores, equipos de comunicaciones móviles / satelitales, dispositivos de centros de datos, dispositivos de aviones comerciales, varias soluciones empresariales y muchos otros.

Los expertos ahora temen que todos los productos que usan esta biblioteca probablemente no se verifiquen debido a cadenas de suministro de application complejas o sin seguimiento.

Los problemas surgen del hecho de que la biblioteca no solo fue utilizada directamente por los proveedores de equipos, sino que también se integró en otras suites de software program, lo que significa que muchas empresas ni siquiera saben que están utilizando este código en particular, y el nombre del la biblioteca vulnerable no aparece en sus manifiestos de código.

Las vulnerabilidades de Ripple20

Estas vulnerabilidades, denominadas colectivamente Ondulación20 – impactar una pequeña biblioteca desarrollada por la compañía de software package con sede en Cincinnati Treck.

La biblioteca, que se cree que se lanzó por primera vez en 1997, implementa una pila ligera de TCP / IP. Las empresas han estado utilizando esta biblioteca durante décadas para permitir que sus dispositivos o software se conecten a Online a través de conexiones TCP / IP.

Desde septiembre de 2019, investigadores de JSOF, una pequeña empresa boutique de consultoría cibernética ubicada en Jerusalén, Israel, ha estado analizando la pila TCP / IP de Treck, debido a su amplia presencia en el mercado industrial, de salud y de dispositivos inteligentes.

Su trabajo descubrió vulnerabilidades graves, y el equipo de JSOF ha estado trabajando con CERT (equipos de respuesta a emergencias informáticas) en diferentes países para coordinar la divulgación de vulnerabilidad y el proceso de parcheo.

En una entrevista con ZDNet la semana pasada, JSOF dijo que esta operación implicaba mucho trabajo y diferentes pasos, como conseguir que Treck se embarque, asegurarse de que Treck tenga parches a tiempo, y luego encontrar todo el equipo vulnerable y comunicarse con cada uno de los proveedores afectados.

Los esfuerzos han sido exitosos, dijo Shlomi Oberman, directora ejecutiva de JSOF. ZDNet. Oberman reconoció a CERT / CC por desempeñar un papel importante en la coordinación del proceso de divulgación de vulnerabilidades con todos los proveedores afectados.

Treck, aunque reticente al principio y pensando que fue objeto de un intento de extorsión, ahora está totalmente a bordo, dijo Oberman.

En un correo electrónico a ZDNet el lunes, Treck confirmó que los parches ahora están disponibles para todas las vulnerabilidades de Ripple20.

Trabajar en Ripple20 solo a la mitad

Pero JSOF dijo que el trabajo para identificar todos los dispositivos vulnerables aún no está terminado. Los investigadores dijeron que nombraron las 19 vulnerabilidades como Ripple20 no porque fueran 20 vulnerabilidades al principio, sino por el efecto dominó que causarán en el panorama de IoT en 2020 y en los años venideros.

Los investigadores dicen que solo arañaron la superficie cuando se trata de descubrir todos los dispositivos que han implementado la biblioteca TCP / IP de Treck, y que muchos proveedores de equipos necesitarán verificar su propio código en el futuro.

Oberman dijo que si bien no todas las vulnerabilidades de Ripple20 son graves, hay algunas que son extremadamente peligrosas, lo que permite a los atacantes hacerse cargo de los sistemas vulnerables desde un escenario «remoto».

En un aviso de seguridad que se publicará hoy y revisado por ZDNet bajo embargo, el Departamento de Seguridad Nacional de EE. UU. Ha atribuido calificaciones de 10 y 9.8 en la escala de gravedad de vulnerabilidad CVSSv3 (la escala va de 1 a 10) a cuatro de las vulnerabilidades de Ripple 20 . Estos son:

  • CVE-2020-11896 – Puntuación CVSSv3: 10 – Manejo inadecuado de la inconsistencia del parámetro de longitud en el componente IPv4 / UDP cuando se maneja un paquete enviado por un atacante de pink no autorizado. Esta vulnerabilidad puede provocar la ejecución remota de código.
  • CVE-2020-11897 – Puntuación CVSSv3: 10 – Manejo inadecuado de la inconsistencia del parámetro de longitud en el componente IPv6 cuando se maneja un paquete enviado por un atacante de purple no autorizado. Esta vulnerabilidad puede resultar en una posible escritura fuera de los límites.
  • CVE-2020-11898 – Puntuación CVSSv3: 9.8 – Manejo inadecuado de la inconsistencia del parámetro de longitud en el componente IPv4 / ICMPv4 cuando se maneja un paquete enviado por un atacante de crimson no autorizado. Esta vulnerabilidad puede provocar la exposición de información confidencial.
  • CVE-2020-11899 – Puntuación CVSSv3: 9.8 – Validación de entrada incorrecta en el componente IPv6 cuando se maneja un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede permitir la exposición de información sensible.

Estas cuatro vulnerabilidades, cuando están armadas, podrían permitir a los atacantes hacerse cargo de dispositivos inteligentes o cualquier equipo industrial o de atención médica. Los ataques son posibles a través de World wide web si los dispositivos están conectados en línea, o desde redes locales si el atacante se establece en una crimson interna (por ejemplo, a través de un enrutador comprometido).

Estas cuatro vulnerabilidades son ideales para ambos operadores de botnet, pero también para ataques dirigidos. Probar todos los sistemas para detectar las vulnerabilidades de Ripple20 y parchear estos cuatro problemas, en unique, debería ser una prioridad para todas las empresas, principalmente debido a la gran huella de Treck en el panorama del software program.

(incrustar) https://www.youtube.com/enjoy?v=jkfNE_Twa1s (/ incrustar)

Actualmente, se espera que el impacto de las vulnerabilidades Ripple20 sea el mismo que las vulnerabilidades Urgente / 11 que se revelaron en julio de 2019 y que todavía se están investigando hasta el día de hoy, y se están encontrando y reparando nuevos dispositivos vulnerables de forma regular. La comparación no es accidental, ya que las vulnerabilidades Urgentes / 11 afectaron la pila de pink TCP / IP (IPnet) del sistema operativo en tiempo serious VxWorks, otro producto ampliamente utilizado en el entorno industrial y de IoT.

Al igual que en el caso de Urgente / 11, algunos productos permanecerán sin parches, ya que algunos han pasado al last de su vida útil o los proveedores han cerrado las operaciones mientras tanto.

JSOF ha sido invitado a hablar sobre estas vulnerabilidades en el Conferencia de seguridad de Black Hat United states of america 2020.



Enlace a la noticia first