Clicky

Nuevos defectos de Ripple20 ponen en riesgo miles de millones de dispositivos conectados a Internet

Ripple20

Denominados "Ripple20", el conjunto de 19 vulnerabilidades reside en una biblioteca de software TCP/IP

El Departamento de Seguridad Nacional de Estados Unidos y CISA ICS-CERT emitirán hoy una advertencia de seguridad crítica sobre más de una docena de vulnerabilidades recientemente descubiertas que afectan a miles de millones de dispositivos conectados a Internet fabricados por más de 500 proveedores en todo el mundo.

Denominado "Ripple20", el conjunto de 19 vulnerabilidades reside en una biblioteca de software TCP/IP de bajo nivel desarrollada por Treck que, si está montada, podría permitir a los atacantes remotos obtener un control completo sobre los dispositivos objetivo, sin requerir ninguna interacción del usuario.

Según la compañía israelí de ciberseguridad JSOF, que descubrió estos defectos, los dispositivos afectados se usan en varias industrias, desde dispositivos domésticos/de consumo hasta médicos, atención médica, centros de datos, empresas, telecomunicaciones, petróleo, gas, energía nuclear, transporte y muchos otros más a través de infraestructuras críticas.

Ripple20, dispositivos afectados

"Solo algunos ejemplos: los datos pueden ser robados de una impresora, puede cambiar el comportamiento de una bomba de infusión, o funcionar mal los dispositivos de control industrial pueden. Un atacante podría ocultar durante años el código malicioso dentro de los dispositivos integrados", dijeron los investigadores en un informe.

"Una de las vulnerabilidades podría permitir la entrada desde el exterior a los límites de la red; esto es solo una pequeña muestra de los potenciales riesgos".

Existen cuatro vulnerabilidades críticas en la pila Treck TCP/IP, con puntajes CVSS superiores a 9, lo que podría permitir a los atacantes ejecutar código arbitrario en dispositivos de forma remota, y un error crítico afecta el protocolo DNS.

"Las otras 15 vulnerabilidades están en diversos grados de severidad con un puntaje CVSS que varía de 3.1 a 8.2, y efectos que van desde la denegación de servicio hasta la posible ejecución remota de código", dice el informe.

Treck o los fabricantes de dispositivos repararon algunas fallas de Ripple20 a lo largo de los años debido a cambios en el código y la configurabilidad de la pila y, por la misma razón, muchos de los defectos también tienen varias variantes que aparentemente no se corregirán en el corto plazo hasta que los proveedores realicen una evaluación integral de riesgos.

Puedes encontrar detalles de las vulnerabilidades en un aviso publicado por el gobierno de EE. UU.

Los investigadores de seguridad cibernética de JSOF informaron de manera responsable sus hallazgos a la empresa Treck, que luego reparó la mayoría de las fallas con el lanzamiento de la versión de pila TCP/IP 6.0.1.67 o superior.

Los investigadores también se comunicaron con más de 500 vendedores de semiconductores y fabricantes de dispositivos afectados, incluidos HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter y Quadros, muchos de los cuales ya han reconocido la falla y el resto todavía están evaluando sus productos antes hacerlo público.

Ripple20, estado del parche

"La divulgación se pospuso dos veces después de que algunos de los proveedores participantes solicitaron más tiempo, y algunos de los vendedores expresaron demoras relacionadas con COVID-19. Por consideración a estas compañías, el período de tiempo se extendió de 90 a más de 120 días. Aun así, algunas de las compañías participantes se volvieron difíciles de tratar, ya que hicieron demandas adicionales, y algunas, desde nuestra perspectiva, parecían mucho más preocupadas por la imagen de su marca que por parchear las vulnerabilidades", dijeron los investigadores.

Dado que en el corto plazo millones de dispositivos no recibirían actualizaciones de parches de seguridad para abordar las vulnerabilidades de Ripple20, los investigadores e ICS-CERT han recomendado a los consumidores y la organización que:

Minimicen la exposición de la red para todos los dispositivos y/o sistemas del sistema de control y se aseguren de que no sean accesibles desde Internet.
Ubiquen las redes del sistema de control y los dispositivos remotos detrás de los firewalls y los aíslen de la red empresarial.

Además de esto, también se recomienda utilizar redes privadas virtuales (VPN) para conectar de forma segura sus dispositivos a servicios basados en la nube a través de Internet.

En su asesoría, CISA también ha pedido a las organizaciones afectadas que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

Jesus_Caceres