Mejores prácticas de mitigación de vulnerabilidad de Ripple20


El 16 de junioth, el Departamento de Seguridad Nacional y CISA ICS-CERT emitido una seguridad crítica consultivo advertencia que cubre múltiples vulnerabilidades recientemente descubiertas que afectan a dispositivos conectados a Online fabricados por múltiples proveedores. Este conjunto de 19 vulnerabilidades en una biblioteca de program TCP / IP de bajo nivel desarrollado por Treck ha sido denominado «Ripple20» por investigadores de JSOF.

Una pila de red es un componente de software que proporciona conectividad de crimson a través de los protocolos de Net estándar. En este caso específico, estos protocolos incluyen los protocolos de comunicaciones ARP, IP (versiones 4 y 6), ICMPv4, UDP y TCP, así como los protocolos de aplicación DNS y DHCP. La pila de redes Treck se utiliza en una amplia gama de industrias (médica, gubernamental, académica, empresas de servicios públicos, and many others.), desde una amplia gama de fabricantes de dispositivos, un hecho que mejora su impacto y alcance, ya que cada fabricante necesita impulsar una actualización para sus dispositivos independientemente de todos los demás. En otras palabras, el impacto se extiende en toda la industria debido a las complejidades en las cadenas de suministro y diseño.

Identificar dispositivos vulnerables en su pink es un paso crucial para evaluar el riesgo de Ripple20 para su organización. Mientras que un uncomplicated Shodan busca «treck» muestra aproximadamente 1000 dispositivos, que es muy probable que sean dispositivos vulnerables a World wide web, esto representa solo una fracción de los dispositivos afectados. La identificación de la pila de redes Treck frente a otras pilas de redes (como las pilas nativas de Linux o Windows) requiere un análisis detallado y técnicas de huellas digitales basadas en los resultados de los escaneos de pink de los dispositivos en cuestión.

El impacto de estas vulnerabilidades varía desde la denegación de servicio hasta la explotación de código remoto full a través de Online, y al menos un caso no requiere autenticación (CVE-2020-11901) Los investigadores de JSOF identificaron que estas vulnerabilidades afectan una combinación de dispositivos tradicionales y de IoT. Los clientes deben revisar los avisos de proveedores como Intel y HP porque los dispositivos que no son IoT pueden estar ejecutando firmware que hace uso de la pila de crimson Treck.

El impacto más significativo de Ripple20 es en dispositivos cuya pila de red está expuesta (en common, dispositivos IoT que incorporan la pila de crimson Treck) en comparación con los dispositivos que incorporan la pila que solo está expuesta al dispositivo area. Recomendamos que audite todos los dispositivos habilitados para la red para determinar si son susceptibles a estas vulnerabilidades.

Hay potencialmente decenas de millones de dispositivos que son vulnerables a al menos uno de los defectos de Ripple20. La mitigación del impacto requiere la atención tanto de los propietarios de dispositivos como de los proveedores de dispositivos.

Mitigaciones para usuarios de dispositivos vulnerables según las recomendaciones de CISA (cuando sea posible):

  • Parchee cualquier dispositivo para el que un proveedor haya lanzado una actualización.
  • Practique el principio de privilegio mínimo para todos los usuarios y dispositivos (los dispositivos y usuarios solo deben tener acceso al conjunto de capacidades necesarias para realizar su trabajo). En este caso, minimice la exposición a la crimson y accesibilidad a world-wide-web para todos los dispositivos del sistema de handle.
  • Localice las redes del sistema de manage y los dispositivos remotos detrás de los firewalls y aíslelos de la crimson empresarial.
  • Cuando se requiere acceso remoto, utilice métodos seguros, como las redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más precise disponible. También reconozca que una VPN es tan segura como los dispositivos conectados. Las soluciones VPN deben usar autenticación de múltiples factores.
  • Use servidores DNS de almacenamiento en caché en su organización, prohibiendo consultas DNS directas a World-wide-web. Idealmente, el almacenamiento en caché de los servidores DNS debería utilizar DNS sobre HTTPS para las búsquedas.
  • Bloquee el tráfico anómalo de IP utilizando una combinación de firewalls y sistemas de prevención de intrusiones.

¿Dónde puedo ir para obtener más información?

Por favor revise KB93020 para obtener más información y suscribirse para recibir actualizaciones.





Enlace a la noticia original