Los parches siguen planteando problemas para la industria …



Más del 90% de los dispositivos que ejecutan sistemas operativos integrados populares siguen siendo vulnerables a fallas críticas reveladas hace más de un año.

Dos familias de vulnerabilidades críticas que impactan la tecnología operativa (OT), los dispositivos integrados y el hardware de purple continúan socavando la seguridad de la gran mayoría de los dispositivos originalmente afectados porque la corrección de los problemas ha sido extremadamente lenta, según un nuevo informe de investigación por dispositivo. firma de seguridad Armis.

Mediante un muestreo aleatorio, la compañía verificó el estado del parche de los dispositivos vulnerables a fallas que afectan a siete sistemas operativos integrados vulnerables, incluido el VxWorks generalizado, que había revelado en julio y octubre de 2019, y descubrió que el 97% de los dispositivos no se habían actualizado a un parche. versión del software. La compañía también escaneó un subconjunto de la purple Cisco, teléfonos IP y dispositivos de cámara en busca de un conjunto de cinco vulnerabilidades reveladas en febrero de 2020, y encontró que el 80% de esos dispositivos seguían siendo vulnerables.

El hecho de que el computer software vulnerable continúe afectando los dispositivos meses después de que se revelaron las fallas subraya la dificultad de parchear components crítico, dice Ben Seri, jefe de investigación de Armis.

«Estos son los tipos de dispositivos que parecen difíciles de parchear», dice. «Se encuentran en aplicaciones críticas y las empresas a menudo no quieren arriesgarse a una interrupción actualizándolas o desconectando la purple para repararlas».

Las vulnerabilidades en el program que se united states para ejecutar la tecnología operativa y los dispositivos integrados son notoriamente difíciles de parchear y, debido a que se usan en aplicaciones tan críticas, a menudo requieren una orquestación compleja para intentar parchear.

La respuesta a la vulnerabilidad Heartbleed en 2014, que afectó a la biblioteca criptográfica OpenSSL, muestra los problemas que puede tener la corrección compleja en las tasas de parcheo efectivas. El parche inicial se realizó rápidamente, y el millón de sitios principales de Alexa impulsó su tasa de vulnerabilidad de un máximo del 55% a menos del 11% en dos días. Sin embargo, el 14% de los parcheados no dieron otro paso, cambiar sus claves privadas, y por lo que permaneció susceptible al ataque.

«La aplicación de parches es importante, pero la implementación de parches en dispositivos de misión crítica lleva tiempo», dice Seri. «A menudo hay una razón para que no obtengan parches, pero cuando esté listo para parchearlos y desconectar el dispositivo, debería ser más fácil de completar».

En agosto, la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) otorgó $ 3.9 millones a investigadores de la Universidad Purdue, la Universidad de California en Santa Bárbara y el Instituto Federal Suizo de Tecnología de Lausana (EPFL) para trabajar en un proyecto de cuatro años para mejorar parchear en sistemas integrados vulnerables y desarrollar parches de código mínimos y automáticos para dispositivos integrados, especialmente aquellos para los que los parches pueden no estar disponibles.

«Se sabe que muchos componentes de application antiguos que se ejecutan en estos sistemas contienen vulnerabilidades sin embargo, parchearlos para corregir estas vulnerabilidades no siempre es posible o fácil», dijo Antonio Bianchi, profesor asistente de informática. en una declaración en ese momento.

los Estudio de dispositivos de Armis encontró que dos familias de vulnerabilidades continúan causando importantes brechas de seguridad para las empresas. Las vulnerabilidades URGENT / 11: un conjunto de 11 problemas que tenía la empresa de ciberseguridad divulgado anteriormente en julio de 2019 – Permitió ataques de denegación de servicio, fugas de información y ejecución remota de código. En octubre de 2019, la compañía reveló que otros seis sistemas operativos en tiempo genuine que admitían la pila IPnet TCP / IP también se vieron afectados: OSE de ENEA, Integrity de Eco-friendly Hills, ThreadX de Microsoft, Nucleus RTOS de Mentor, ITRON de TRON Discussion board. y ZebOS de IP Infusion.

Si bien un subconjunto de las vulnerabilidades podría permitir que un gusano se propague mediante exploits, las empresas continúan siendo vulnerables, y el 97% de los dispositivos originalmente afectados por los problemas de seguridad siguen siendo vulnerables.

Seri de Armis culpa a la dificultad de implementar un parche en los millones de dispositivos por el lento progreso del parche.

La compañía también ha rastreado un segundo conjunto de problemas de seguridad que sus investigadores habían revelado en febrero de 2020. Esas cinco vulnerabilidades afectar el protocolo de descubrimiento de Cisco (CDP) y podría permitir que un exploit remoto tomara el handle de un dispositivo. La compañía estima que solo el 20% de los dispositivos que habían sido vulnerables han sido parcheados.

«La aplicación de parches es importante, pero la implementación de parches en dispositivos de misión crítica lleva tiempo», dice Seri. «Hay una razón para que no obtengan parches, pero debería ser más fácil parchearlos cuando sea necesario desconectarlos».

En particular, las industrias de la aviación y el comercio minorista continúan teniendo altas tasas de dispositivos vulnerables, con un 83% y un 90% de los dispositivos Cisco vulnerables sin parchear. Una gran cantidad de controladores y redes industriales también se ven afectados por las dos familias de problemas, dice Seri.

«Vemos que gran parte de la fabricación también está siendo blanco de ataques», dice. «Por lo tanto, el alto porcentaje de dispositivos vulnerables afectados y la baja frecuencia de parcheo coloca a estos dispositivos en la categoría de mayor riesgo».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Reading, MIT&#39s Technology Evaluation, Preferred Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary