Milhões de dispositivos conectados têm falhas de TCP / IP exploráveis

Milhões de dispositivos conectados têm falhas de TCP / IP exploráveis. Treck corrige 19 falhas em sua biblioteca TCP / IP amplamente usada.

Hora de mais um pesadelo com IoT: os pesquisadores descobriram que uma biblioteca de software pouco conhecida que é amplamente usada há décadas – por inúmeras empresas e em muitos produtos – tem sérias vulnerabilidades que precisam de correção imediata.

Segundo o site BankInfo Security, desta vez, as falhas – apelidadas de “Ripple20” pelos pesquisadores – envolvem o código TCP / IP da Treck de Cincinnati, que fabrica software para implementar vários protocolos de rede. Embora a Treck possa ser uma empresa de baixo perfil que poucos ouviram falar, seu código, no entanto, chegou a milhões de dispositivos conectados, desde bombas médicas e impressoras de escritório a sistemas de redes de serviços públicos e componentes de aviação.

O site explica que isso ocorre na pilha de códigos TCP / IP da Treck – uma biblioteca incorporada –  conhecida por seu alto desempenho e confiabilidade. Aparentemente, o código é particularmente adequado para dispositivos IoT de baixa potência e uso do sistema operacional em tempo real.

Na terça-feira, dia 16 de junho, no entanto, a consultoria israelense de segurança cibernética JSOF divulgou 19 vulnerabilidades no código TCP / IP depois de relatar previamente as falhas para Treck, que preparou uma correção. As descobertas da JSOF seguem outro problema de larga escala que afeta os dispositivos de IoT que estão surgindo, nesse caso no protocolo Universal Plug and Play .

As informações sobre as falhas do Ripple20 estão circulando em particular desde o ano passado, enquanto pesquisadores, fornecedores e especialistas em segurança trabalhavam para coordenar correções e alertar as partes relevantes. A JSOF observa que procurou agências como o  CERT Coordination Center e a Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency, uma vez que percebeu o quão difícil seria identificar todas as empresas e produtos que utilizam o código vulnerável da Treck.

As empresas que enviam produtos afetados pelas falhas incluem Caterpillar , Intel , Green Hills Software , Rockwell Automation, HP , Baxter e Schneider Electric , entre muitas outras.

Especialistas dizem que várias organizações precisarão emitir atualizações ou detalhar soluções alternativas para atenuar as falhas. O fabricante de dispositivos médicos B. Braun Medical , com sede na Pensilvânia, já emitiu um comunicado na sexta-feira, dia 19 de junho, dizendo que apenas um de seus produtos, a bomba de infusão Outlook 400ES, é afetada pelas falhas. A empresa ainda está analisando quatro patches emitidos pela Treck, mas que seus clientes não precisam tomar medidas imediatas.

A JSOF diz que a Treck está entrando em contato diretamente para alertar seus clientes, mas diz que, por causa de acordos de confidencialidade, a Treck não divulgou uma lista desses clientes.

A biblioteca de software se espalha por toda parte, a ponto de rastreá-la tem sido um grande desafio“, diz JSOF. “Ao rastrearmos a trilha de distribuição da biblioteca TCP / IP da Treck, descobrimos que nas últimas duas décadas esse software básico de rede estava se espalhando pelo mundo, através do uso direto e indireto“.

A Forescout Technologies , que trabalhou com a JSOF na divulgação, escreve que mais de 50 fornecedores podem ser afetados, “expondo uma cadeia de suprimentos muito complexa para dispositivos de IoT“.

A Forescout usou o mecanismo de busca de dispositivos conectados à Internet Shodan para procurar dispositivos potencialmente vulneráveis ​​expostos à Internet e que poderiam estar diretamente comprometidos. Ele encontrou 15.000 desses dispositivos, incluindo impressoras, câmeras IP, sistemas de videoconferência, equipamentos de rede e dispositivos de sistema de controle industrial.

As falhas representam grandes riscos para as empresas. Se um invasor explorar o Ripple20 em um dispositivo, toda a rede comercial poderá estar em risco, diz Curtis Simpson, CISO da Armis , especializada em segurança de dispositivos conectados.

Uma vulnerabilidade na pilha do TC / IP é perigosa pelo baixo nível de acesso que pode oferecer aos invasores“, diz Simpon. “Até agora sabemos que a maioria das empresas está executando um grande número de dispositivos conectados no local de trabalho“.

Patches disponíveis

Em um comunicado divulgado na terça-feira, o US CERT diz que são necessários altos níveis de habilidade para explorar as falhas e que não há explorações públicas conhecidas visando as vulnerabilidades, pelo menos até o momento.

Treck diz em comunicado que atualizou seu software TCP / IPv4 / v6 para corrigir os problemas. O JSOF observa que as organizações devem usar a pilha da Treck versão 6.0.1.67 ou superior.

A JSOF apelidou as falhas de Ripple20 para refletir como um único componente vulnerável pode ter um efeito cascata em “uma ampla gama de indústrias, aplicativos, empresas e pessoas“. A empresa deve apresentar suas conclusões no Black Hat 2020 , que será um evento virtual.

Quatro das falhas são classificadas como críticas e duas delas podem ser exploradas para controlar remotamente um dispositivo. Outros exigem que um invasor esteja na mesma rede que o dispositivo de destino, o que torna essas falhas mais difíceis – mas não impossíveis – de serem exploradas.

Os riscos inerentes a essa situação são altos“, diz JSOF. “Apenas alguns exemplos: os dados podem ser roubados de uma impressora, o comportamento de uma bomba de infusão pode ser alterado ou os dispositivos de controle industrial podem funcionar mal. Um invasor pode ocultar códigos maliciosos nos dispositivos incorporados por anos“.

Simpson, da Armis, diz que o patch consumirá muito tempo, já que os administradores podem precisar atualizar manualmente todas as marcas e modelos de dispositivos vulneráveis.

A correção levará um tempo significativo, o que deixa uma grande janela aberta para atores motivados“, diz Simpson. “Alguns dispositivos não podem receber patches. Alguns são tão antigos que há muito tempo acabaram.

Em um breve vídeo, o CEO da JSOF, Shlomi Oberman, mostra como uma exploração das falhas pode afetar uma fonte de alimentação ininterrupta, conectada a uma bomba de infusão médica, a uma impressora HP OfficeJet Pro 8720 e a um módulo com sistema operacional e processador. Oberman encontrou as falhas com seu colega Moshe Kol.

O vídeo mostra a carga útil do ataque que desativa a energia de todos os dispositivos conectados, levando a bomba de infusão a emitir bipes alarmantes e a exibir este aviso: “Bateria descarregada. A bomba não funciona”.

O JSOF publicou um white paper descrevendo duas das vulnerabilidades. A empresa também planeja lançar um segundo white paper focado apenas no CVE-2020-11901 – uma vulnerabilidade de DNS – e descrever como isso pode afetar um dispositivo UPS da Schneider Electric APC.

Estratégias de Mitigação

Segundo o BankInfo Security, especialistas dizem que os dispositivos que podem ser corrigidos devem ser corrigidos imediatamente. Porém, se os dispositivos não puderem ser atualizados, as organizações poderão executar uma série de etapas para minimizar sua exposição.

O US CERT diz que os administradores devem garantir que os sistemas vulneráveis ​​não sejam acessíveis pela Internet e que os sistemas de controle estejam localizados atrás de firewalls e também não estejam conectados a nenhuma rede comercial.

As VPNs devem ser usadas para todo o acesso remoto a dispositivos vulneráveis, com a ressalva de que o software VPN também pode ter vulnerabilidades, afirma o US CERT. As organizações também devem usar um servidor DNS interno que realize pesquisas usando DNS sobre HTTPS, diz o documento.

A JSOF diz que as organizações também podem bloquear o tráfego IP anormal, além de usar a inspeção profunda de pacotes para bloquear ataques à rede.

 

Fonte:  BankInfo Security

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Senado aprova projeto de lei que combate fake news

Deixe sua opinião!