Los investigadores de seguridad revelaron el lunes una serie de fallas en un protocolo de comunicación de red ampliamente utilizado que podría afectar a millones de dispositivos.
Nueve vulnerabilidades descubiertas Laboratorio de investigación forescout y investigación JSOF Aumenta significativamente la superficie de ataque de al menos 100 millones de dispositivos IoT, exponiéndolos a posibles ataques que podrían desconectar los dispositivos o ser secuestrados por actores de amenazas.
«La historia ha demostrado que controlar los dispositivos IoT puede ser una estrategia efectiva para lanzar ataques DDoS», dijo Rohit Dhamankar, vicepresidente de productos de inteligencia de amenazas. Lógica de alertauna empresa de seguridad de infraestructura y aplicaciones con sede en Houston.
«A medida que los dispositivos IoT se vuelven más ricos en funciones, pueden quedar bajo el control de los atacantes, al igual que los servidores o las computadoras de escritorio, y pueden explotarse aún más como cabezas de playa para las infracciones corporativas», dijo a TechNewsWorld.
Llamar Nombre: Naufragioque afecta a cuatro pilas TCP/IP populares: FreeBSD, Nucleus NET, IPnet y NetX.
En una publicación de blog, los investigadores explicaron que Nucleus NET es parte de Nucleus RTOS, un sistema operativo en tiempo real utilizado por más de 3 mil millones de dispositivos, incluidas máquinas de ultrasonido, sistemas de almacenamiento, sistemas críticos en aviónica y más.
Los investigadores notaron que FreeBSD es ampliamente utilizado por millones de servidores de alto rendimiento en redes de TI y es la base para otros proyectos de código abierto conocidos, como firewalls y algunos equipos de redes comerciales.
Agregaron que NetX, que normalmente funciona con ThreadX RTOS, se implementó 6200 millones de veces en 2017 y se puede encontrar en dispositivos médicos, sistemas en chips y varios modelos de impresoras.
«En las tres dimensiones, las organizaciones en los sectores de la salud y el gobierno se encuentran entre los tres más afectados”, escribieron los investigadores. “Si asumimos de manera conservadora que el 1% de los más de 10 mil millones de implementaciones discutidas anteriormente son Vulnerables, podemos estimar que al menos 100 millones de dispositivos se vieron afectados por Name:Wreck».
Tabla de Contenidos
Potente vector de ataque
Los expertos en seguridad le dijeron a TechNewsWorld que los ataques TCP/IP pueden ser particularmente poderosos.
“TCP/IP es el software que realmente realiza toda la comunicación desde el dispositivo hacia otros sistemas”, explica Gary Kinghorn, director de marketing. red templadauna empresa de microsegmentación con sede en Seattle.
«Si se trata de un ataque basado en la red, en lugar de conectar una memoria USB a un puerto USB, debe pasar por TCP/IP», dijo. «Romper el software TCP/IP para permitir vulnerabilidades o explotar errores en el diseño es la base de la mayoría de los ataques».
Los ataques a la pila TCP/IP también pueden eludir algunas protecciones de seguridad básicas.
«Mientras tenga un ataque a TCP/IP y no necesite un nombre de usuario o contraseña, es más fácil ejecutar el ataque», observó Dhamankar.
«Las vulnerabilidades de TCP/IP son poderosas porque se pueden explotar de forma remota a través de Internet o intranet sin romper otros mecanismos de seguridad, como la autenticación», agregó el CTO Bob Baxley. Red Bastillade San Francisco, es un proveedor de seguridad y detección de amenazas de IoT.
Además, los atacantes de TCP/IP pueden obtener beneficios una vez que un dispositivo se ve comprometido. «En la mayoría de los casos, el código de la pila TCP/IP se ejecuta con privilegios elevados, por lo que cualquier vulnerabilidad de ejecución de código permitiría a un atacante obtener importantes privilegios en el dispositivo», dijo Asaf Karas, cofundador y CTO. Weiduun proveedor de automatización de seguridad para dispositivos integrados en Tel Aviv, Israel.
parchear el problema
Si bien algunas de las vulnerabilidades reveladas por los investigadores pueden solucionarse, puede haber problemas con el proceso.
Baxley señaló que se han lanzado parches para FreeBSD, Nucleus NET y NetX.
«Para los dispositivos finales que usan estas pilas, es teóricamente posible hacer ajustes», dijo. «Sin embargo, en la práctica, muchos de los sistemas vulnerables son dispositivos IoT que ejecutan sistemas operativos en tiempo real que no están en el programa de parches normal y es poco probable que los reciban».
«Los dispositivos de IoT a menudo se manejan de la manera de ‘implementar y olvidar’, y a menudo solo se reemplazan cuando fallan o alcanzan el final de su capacidad de mantenimiento», agregó el investigador principal de seguridad Jean-Philippe Taggart. Bytes de malware.
«No es un método muy eficiente», dijo a TechNewsWorld.
La edad puede ser otro problema para los dispositivos IoT. «Estos sistemas pueden parchearse, pero a menudo son implementaciones muy antiguas que pueden usarse en escenarios que no imaginaron», observó Kinghorn.
«Debido a su complejidad y la incapacidad para identificar fácilmente los riesgos, son vulnerables», continuó. «Más a menudo, los piratas informáticos pueden explotarlos antes de que puedan ser parcheados».
«Reparar las vulnerabilidades de IoT siempre ha sido muy difícil», agregó Dhamankar. «Parchar las vulnerabilidades del servidor y del escritorio ya es bastante difícil».
tácticas defensivas
Incluso sin parches, hay formas de proteger la red de los explotadores descubiertos por los investigadores de Forescout y JSOF.
Baxley explicó que para explotar la vulnerabilidad Name:Wreck, un atacante tendría que responder a una solicitud de DNS desde un dispositivo de destino con un paquete falsificado con una carga útil maliciosa. Para hacer esto, el atacante necesita acceso a la red del dispositivo de destino.
«Aislar los dispositivos, especialmente los dispositivos IoT, de Internet y de las redes internas centrales es un mecanismo para reducir el riesgo de exposición», dijo.
El monitoreo de DNS también puede ayudar a defenderse contra Name:Wreck. «Supervisar la actividad de DNS en el entorno y marcar cualquier actividad de servidor DNS externo es un buen paso», observó Dhamankar.
«En general», agregó, «el DNS es una gran fuente para monitorear las vulnerabilidades del análisis de seguridad».
Reforzar la gestión de acceso también puede disuadir a los atacantes. «Si el sistema en sí no se puede parchear, como puede ser el caso de los sistemas de control industrial obsoletos u otros dispositivos de red OT y puntos finales de IoT, es importante asegurarse de que la red solo permita tráfico seguro y confiable a esos dispositivos», explicó Kinghorn.
«Aquí es donde el diseño de confianza cero puede ayudar, asegurando que solo los dispositivos autorizados puedan acceder a estos sistemas vulnerables», continuó. «También puede ayudar a monitorear y analizar continuamente el tráfico de estos dispositivos para garantizar que el tráfico potencialmente malicioso o sospechoso no llegue a ellos».
«El IoT en su conjunto es un punto de acceso de seguridad», agregó Chris Morales de CISO. rico netoun proveedor de servicios del centro de operaciones de seguridad en San José, CA.
«Contraseñas débiles y cuentas de usuario codificadas, falta de parches y componentes obsoletos, estas últimas vulnerabilidades son solo la pila insegura de IoT», dijo a TechNewsWorld.
