Los efectos de Ripple20 afectarán la seguridad cibernética de IoT …


Una serie de vulnerabilidades de program TCP / IP recientemente descubiertas representan una amenaza para millones de dispositivos IoT. Sin ser descubiertos desde principios de la década de 1990, destacan la necesidad de mejorar la seguridad en una cadena de suministro de IoT cada vez más precaria.

Si bien la Internet moderna admite controles de seguridad considerables, como el cifrado, la identificación y la autenticación, este no siempre fue el caso. Las preocupaciones con respecto a la ciberseguridad estuvieron ausentes durante el desarrollo inicial y el despliegue de World wide web temprano. Como resultado, muchas de las soluciones de seguridad comúnmente utilizadas en la actualidad se han diseñado y aplicado poco a poco. Por lo tanto, no es de extrañar que recientemente se hayan descubierto varios defectos recientemente descubiertos en la infraestructura de pila de pink subyacente, desconocidos y sin parchear desde fines de la década de 1990. Las implicaciones de tales vulnerabilidades pueden resultar catastróficas para el paisaje de IoT en constante crecimiento.

Una compañía de ciberseguridad de Israel llamada JSOF ha logrado descubrir una serie de vulnerabilidades de día cero en una antigua biblioteca de computer software TCP / IP. Las vulnerabilidades que existen, pero que el vendedor del producto afectado desconoce, se conocen comúnmente como vulnerabilidades de día cero. La naturaleza de estos defectos significa que son explotables hasta que el proveedor repare los sistemas vulnerables. Sin embargo, incluso si se lanza un parche, muchas actualizaciones (especialmente en componentes más antiguos) no se pueden ejecutar automáticamente y requieren la interacción humana para instalar. Como resultado, las vulnerabilidades de día cero plantean simultáneamente las mayores amenazas para la seguridad de la información, a la vez que se las considera el premio más buscado por los ciberdelincuentes para obtener y compartir.

En total, JSOF descubrió 19 de estas vulnerabilidades, pero nombró el lote de fallas Ripple20 para ilustrar el «efecto dominó» que estos defectos de seguridad tendrán en los dispositivos conectados en los próximos años. Se determinó que las fallas específicas surgieron de una organización con sede en Cincinnati llamada Treck Inc. Treck fue responsable de desarrollar un conjunto de protocolos TCP / IP de alto rendimiento para su uso en sistemas integrados por fabricantes de dispositivos conectados.

Como resultado de la popularidad de la suite, las vulnerabilidades pudieron infiltrarse en los mercados globales sin ser notados a través de la cadena de suministro. Por ejemplo, JSOF determinó que una colaboración conjunta entre Treck y una empresa llamada Elmic Techniques permitió que las vulnerabilidades también se propagaran al mercado japonés hace más de 20 años.

Cuando se trata de comprender las fallas del software, el conocimiento de dos componentes principales del ecosistema de vulnerabilidad es esencial. Estos incluyen los valores de Enumeración de Debilidad Común (CWE) y los valores del Sistema de Calificación de Vulnerabilidad Común (CVSS). Si bien existen muchas variables independientes que dictan la clasificación basic de estos valores para cada vulnerabilidad en cuestión, el CWE sirve como un lenguaje común para describir la naturaleza de las vulnerabilidades en sí mismas, mientras que los puntajes CVSS proporcionan un criterio universal para medir su gravedad normal.

Con respecto a las vulnerabilidades Ripple20, tres de los valores CWE más comunes son CWE-20, CWE-125 y CWE-200. CWE-20 afecta la capacidad del sistema para validar efectivamente la entrada del usuario, lo que potencialmente permite que un adversario ejecute código malicioso. Una falla CWE-125 podría otorgarle a un adversario la capacidad de leer la memoria fuera del búfer previsto. Por último, una vulnerabilidad CWE-200 podría provocar la exposición potencial de información confidencial. Además, los puntajes de CVSS reflejan no solo la criticidad de la falla, sino también el grado de conocimiento requerido para explotar la falla. Desafortunadamente, cuatro de los defectos de Ripple20 tienen un puntaje CVSS de 9/10 o top-quality, lo que significa que pueden ser armados para un impacto devastador sin requerir una sizeable experiencia del atacante.

Si bien JSOF ha proporcionado recomendaciones para ayudar a mitigar los riesgos de Ripple20, el alcance typical y el alcance de las fallas tienen implicaciones significativas en el mercado. Agregar mayor complejidad a este desafío específico es la edad de la infraestructura susceptible en sí misma, ya que estas vulnerabilidades de día cero han logrado penetrar en millones de productos de más de 100 proveedores. Se han descubierto componentes que utilizan la biblioteca de pila de crimson vulnerable en entornos industriales, atención médica, consumo, venta minorista, servicios públicos, aviación, empresas, transporte e incluso sectores de seguridad nacional.

El impacto resultante de una vulnerabilidad de Ripple20 explotada con éxito puede tomar muchas formas. Si los defectos se explotaran adecuadamente, un atacante podría obtener el control total sobre un dispositivo de red interno, desde fuera del perímetro de la crimson a través de la puerta de enlace que mira hacia Net. Si se descubrieran múltiples dispositivos vulnerables, un adversario podría potencialmente ampliar su ataque para apuntar a todos los componentes sin parchear simultáneamente. Por último, un dispositivo susceptible podría permitir que un atacante explote un componente susceptible durante años, sin que se be aware. Dependiendo del tipo de dispositivo, las consecuencias de estos ataques pueden variar desde molestas hasta potencialmente mortales.

Cabe señalar que, si bien Treck se apresuró a actualizar su pila TCP / IP a una versión que corrige estas vulnerabilidades, esa fue la parte más fácil de la solución de seguridad. Desafortunadamente, incluso después de haber sido notificado de que sus productos están afectados, la instalación del parche ha resultado difícil para muchos proveedores. Además, este esfuerzo de remediación puede resultar imposible para los componentes vulnerables que todavía están en uso, pero cuyos proveedores ya no están en el negocio después de 20 años.

El esfuerzo de rastrear todos los componentes y sistemas vulnerables, a través de una cadena de suministro que abarca dos décadas, seguirá siendo un desafío forense considerable en los próximos años. Y esto representa solo una serie de fallas. Cuando se combina con vulnerabilidades similares que ya se han descubierto, y aquellas que aún no se han descubierto, el estado frágil de la cadena de suministro de IoT se vuelve claro. Sin un esfuerzo más concertado para mejorar la seguridad de IoT y de dispositivos de crimson, durante todo el ciclo de vida desde el desarrollo hasta la implementación y hasta la jubilación, el panorama de IoT seguirá siendo casi imposible de proteger.

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio website de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Tanner Johnson es un analista de ciberseguridad centrado en IoT y tecnologías transformadoras en Omdia. Su cobertura se centra en examinar las diversas amenazas que ocupan el dominio de la tecnología IoT, así como las oportunidades y estrategias que están surgiendo como conectividad de datos … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia original