&#39Ripple20&#39 Bugs Plague Company, Industrial & …


Los investigadores descubren 19 vulnerabilidades en una biblioteca de software program TCP / IP que los fabricantes han utilizado en dispositivos conectados durante 20 años.

Los investigadores de seguridad revelaron hoy 19 errores que afectan a cientos de millones de dispositivos de Net de las cosas (IoT). Las vulnerabilidades «Ripple20», cuatro de las cuales son críticas, existen en una biblioteca de program TCP / IP de bajo nivel utilizada por muchos fabricantes para conectar sus dispositivos a World-wide-web a través de conexiones TCP / IP.

Investigadores de la consultora israelí de ciberseguridad JSOF comenzaron a investigar esta biblioteca, construida por una compañía de software package llamada Treck, en septiembre de 2019. despertó el interés del equipo porque predijeron que se usaría en varios tipos de dispositivos conectados, explica el CEO e investigador Shlomi Oberman. La investigación reveló varios defectos graves en todos los tipos de dispositivos conectados.

«Descubrimos que está prácticamente en todas partes, en términos del espacio IoT», dice Oberman. «Tiramos una piedra en el estanque, y las ondas siguen expandiéndose, y cada día nos enteramos de nuevos vendedores». Los defectos no se nombran por su recuento, agrega, sino por su efecto dominó en todas las industrias.

JSOF ha estado trabajando con Treck, el Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas (CERT / CC) y la Agencia de Infraestructura y Seguridad Cibernética (CISA) en el proceso de divulgación. Si bien fue difícil involucrar a Treck al principio, dice JSOF, la compañía finalmente se hizo cargo del proceso de notificar a sus clientes y desarrolló un parche para Ripple20 a fines de marzo.

Los productos vulnerables incluyen dispositivos de management industrial, impresoras, dispositivos médicos, redes eléctricas, productos para el hogar y dispositivos minoristas. Ripple20 existe en los sectores de transporte, aviación, petróleo y fuel, y seguridad gubernamental y nacional. Los proveedores afectados incluyen tiendas boutique de una sola persona para corporaciones Fortune 500: HP, Schneider Electric, Intel y Rockwell Automation. Cuando JSOF contactó al Departamento de Seguridad Nacional (DHS), recibieron una lista de 70 a 80 proveedores potencialmente en riesgo.

«Trabajando con el DHS y yendo tras la cadena de suministro proveedor por proveedor, nos dimos cuenta lentamente de cuán grande es este problema», explica Oberman.

Within Ripple20: los defectos más críticos
Las vulnerabilidades varían en gravedad, desde pequeñas fallas con efectos sutiles hasta errores que podrían permitir la denegación de servicio o la divulgación de información si se explotan, dice Oberman. Dos podrían conducir a la ejecución remota de código, permitiendo a los atacantes hacerse cargo de un dispositivo y hacer lo que quieran.

Una de las fallas más graves es CVE-2020-11896 (puntaje CVSSv3 10), una vulnerabilidad de ejecución remota de código que puede explotarse enviando paquetes IPv4 malformados a un dispositivo que soporte el túnel IPv4. Afecta a cualquier dispositivo que ejecute Treck con una configuración específica. Otro es CVE-2020-11897 (puntaje CVSSv3 10), que puede activarse enviando múltiples paquetes IPv6 malformados a un dispositivo. Afecta a cualquier dispositivo que ejecute una versión anterior de Treck con soporte para IPv6, informa JSOF. Se puede encontrar más información sobre las vulnerabilidades en el equipo de investigación reporte completo.

Un atacante necesitaría estar en la purple para explotar la mayoría de estas vulnerabilidades, dice Oberman, pero esto generalmente no es difícil porque muchos dispositivos IoT ya están conectados a Internet por mistake. En algunos casos, un atacante sofisticado podría apuntar a dispositivos desde fuera de la pink. JSOF cree que todos los proveedores son vulnerables a al menos uno de los defectos de ejecución remota de código, con la excepción de un proveedor que realizó grandes cambios en la foundation del código.

La forma en que estas vulnerabilidades afectan a una organización depende de cómo se use el software program. La biblioteca de application Treck se puede usar tal cual, configurada para una variedad de usos o incorporada en una biblioteca más grande, explican los investigadores en una reseña de sus hallazgos. Alguien podría comprar la biblioteca en formato de código fuente y editarla la biblioteca podría integrarse en una variedad de tipos de dispositivos. Una compañía que originalmente compró la biblioteca podría renombrar o someterse a una adquisición.

«Con el tiempo, el componente first de la biblioteca podría volverse prácticamente irreconocible», escribe el equipo. «Es por eso que, mucho después de que la vulnerabilidad unique fue identificada y parcheada, las vulnerabilidades aún pueden permanecer en el campo, ya que el rastreo de la cadena de suministro puede ser prácticamente imposible». Es posible que muchas organizaciones afectadas no tengan plan de que son vulnerables a los errores en una biblioteca de software program que ha estado llegando a los dispositivos conectados durante 20 años.

Si bien los parches ahora están disponibles para las vulnerabilidades Ripple20, los investigadores aún están trabajando para identificar dispositivos vulnerables. Una de las organizaciones de coordinación con las que trabajó JSOF dijo que podrían pasar dos años antes de que se descubran todos los dispositivos afectados, dice Oberman.

Cómo respondió un vendedor afectado
JSOF informó a Digi International de Ripple20 en febrero, dice el oficial de seguridad de la información Donald Schleede. El proveedor de tecnología de IoT pronto comenzó a analizar aspectos de las fallas y comenzó el proceso de divulgación pública, que según él es típicamente dentro de los 90 días. Sin embargo, debido a que las preocupaciones de los clientes y los estándares de cumplimiento exigen un aviso de 30 días para cualquier proveedor, el plazo para abordar fallas críticas es de menos de 60 días.

«Estos productos son productos más antiguos», dice Schleede. «Es una foundation de código que ha estado disponible por un tiempo». Trabajando con los investigadores de JSOF, Digi revisó y abordó cada una de las correcciones de código necesarias y luego realizó una auditoría de código para verificar si las fallas eran atacables o no.

Ripple20 líneas afectadas de productos Digi. Uno era sus productos en caja, que los clientes compran y luego Digi proporciona el firmware. El otro consiste en placas integradas, que los clientes integran en sus productos. y Digi proporciona el código. Todos fueron reparados a fines de abril, y las organizaciones fueron notificadas a través del sistema de gestión empresarial. Schleede dice que muchos clientes, especialmente en el espacio industrial, no desean actualizaciones automáticas porque pueden interferir con los procesos.

Cuando se le preguntó sobre la probabilidad de que las vulnerabilidades sean explotadas, Schleede dice que «es difícil reducir esta». La empresa identificó alrededor de 22 correcciones de código, cuyas implicaciones varían según cómo se usen. Los ataques dirigidos a la disponibilidad de datos son «probablemente los más difíciles de proteger, pero el ataque más fácil». Sin embargo, aquellos que afectan la confidencialidad e integridad de los datos son más peligrosos y difíciles de lograr.

«Si se están robando datos y no se sabe de dónde provienen, es bastante crítico», agrega.

Las vulnerabilidades en el peor de los casos en Ripple20 fueron difíciles de explotar porque requieren un amplio conocimiento sobre el dispositivo de destino. Schleede dice que pasó tres días con ingenieros tratando de replicar los ataques más destructivos sin éxito. Si quisiera lanzar un ataque para desconectar los sistemas, dice que sería mucho más fácil.

«Va a ser diferente para diferentes dispositivos y cómo se diseñan las protecciones», explica. Para los proveedores afectados por Ripple20, aconseja poner en marcha un sólido programa de pruebas de seguridad.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de own de Dark Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Engineering, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia primary