Amnesia:33 - Fallas críticas de TCP/IP afectan a millones de dispositivos IoT

Como consecuencia de una gestión inadecuada de la memoria, la explotación exitosa de estas fallas podría causar daños en la memoria, lo que permitiría a los atacantes poner en peligro los dispositivos, ejecutar código malicioso, realizar ataques de denegación de servicio (DoS), robar información confidencial e incluso envenenar la caché de DNS.

En el mundo real, estos ataques podrían desarrollarse de varias maneras: interrumpiendo el funcionamiento de una central eléctrica para provocar un apagón o desconectando los sistemas de alarma de humo y monitoreo de temperatura mediante el uso de cualquiera de las vulnerabilidades DoS.

Las fallas, que se detallaron ayer en la Conferencia de Seguridad de Black Hat Europe, fueron descubiertas como parte de la iniciativa Project Memoria de Forescout para estudiar la seguridad de las pilas TCP/IP.

El desarrollo ha llevado al CISA ICS-CERT a emitir un aviso de seguridad en un intento de proporcionar un aviso temprano de las vulnerabilidades reportadas e identificar las medidas preventivas de referencia para mitigar los riesgos asociados con las fallas.

Millones de dispositivos de un estimado de 158 proveedores son vulnerables a AMNESIA: 33, con la posibilidad de ejecución remota de código que permite a un adversario tomar el control completo de un dispositivo, y usarlo como un punto de entrada en una red de dispositivos de IoT para mover lateralmente, establecer persistencia y cooptar los sistemas comprometidos en botnets sin su conocimiento.

"AMNESIA: 33 afecta a múltiples pilas TCP/IP de código abierto que no son propiedad de una sola empresa", dijeron los investigadores. "Esto significa que una sola vulnerabilidad tiende a extenderse fácil y silenciosamente a través de múltiples bases de código, equipos de desarrollo, empresas y productos, lo que presenta importantes desafíos para la administración de parches".

Debido a que estas vulnerabilidades se extienden a lo largo de una compleja cadena de suministro de IoT, Forescout advirtió que es muy difícil determinar qué dispositivos se ven afectados como difíciles de erradicar.

Al igual que las fallas Urgent/11 y Ripple20 que se revelaron en los últimos tiempos, AMNESIA: 33 se debe a escrituras fuera de límites, fallas de desbordamiento o falta de validación de entrada, lo que lleva a la corrupción de la memoria y permite a un atacante colocar dispositivos en bucles infinitos, envenenar las cachés de DNS y extraer datos arbitrarios.

Tres de los problemas más graves residen en uIP (CVE-2020-24336), picoTCP (CVE-2020-24338) y Nut/Net (CVE-2020-25111), todos los cuales son fallas de ejecución de código remoto (RCE) y tener una puntuación CVSS de 9,8 sobre un máximo de 10.

Al momento de escribir este artículo, proveedores como Microchip Technology y Siemens que se han visto afectados por las vulnerabilidades informadas también han publicado avisos de seguridad.

"Los sistemas integrados, como IoT y los dispositivos [de tecnología operativa], tienden a tener una larga vida útil de vulnerabilidad como resultado de una combinación de problemas de parcheo, ciclos de vida de soporte prolongados y vulnerabilidades que 'fluyen' hacia cadenas de suministro altamente complejas y opacas", dijo Forescout.

"Como resultado, las vulnerabilidades en las pilas de TCP/IP integradas tienen el potencial de afectar a millones, incluso miles de millones, de dispositivos en las verticales y tienden a seguir siendo un problema durante mucho tiempo".

Además de instar a las organizaciones a realizar un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas, CISA ha recomendado minimizar la exposición de la red, aislar las redes del sistema de control y los dispositivos remotos detrás de los cortafuegos y utilizar las redes privadas virtuales (VPN) para un acceso remoto seguro.