El Departamento de Seguridad Nacional y CISA ICS-CERT emitieron hoy una advertencia de seguridad crítica sobre más de una docena de vulnerabilidades recién descubiertas que afectan a miles de millones de dispositivos conectados a Internet fabricados por muchos proveedores en todo el mundo.

Doblado «ondulación20«el conjunto de 19 vulnerabilidades reside en una biblioteca de software TCP/IP de bajo nivel desarrollada por Treck, que, si se utiliza como arma, podría permitir a los atacantes remotos obtener un control completo sobre los dispositivos objetivo, sin necesidad de interacción del usuario.

Según la empresa de ciberseguridad israelí JSOF, que descubrió estas fallas, los dispositivos afectados se utilizan en varias industrias, desde dispositivos domésticos/de consumo hasta médicos, sanitarios, centros de datos, empresas, telecomunicaciones, petróleo, gas, nuclear, transporte y muchos más. otros a través de la infraestructura crítica.

«Solo algunos ejemplos: los datos podrían robarse de una impresora, el comportamiento de una bomba de infusión cambiaría o los dispositivos de control industrial podrían funcionar mal. Un atacante podría ocultar código malicioso dentro de los dispositivos integrados durante años», dijeron los investigadores en un informe. compartido con The Hacker News.

«Una de las vulnerabilidades podría permitir la entrada desde el exterior a los límites de la red; esto es solo una pequeña muestra de los riesgos potenciales».

Hay cuatro vulnerabilidades críticas en la pila TCP/IP de Treck, con puntajes CVSS superiores a 9, que podrían permitir a los atacantes ejecutar código arbitrario en dispositivos objetivo de forma remota, y un error crítico afecta el protocolo DNS.

«Las otras 15 vulnerabilidades se encuentran en diversos grados de severidad con un puntaje CVSS que varía de 3.1 a 8.2, y efectos que van desde la Denegación de servicio hasta la posible Ejecución remota de código», dice el informe.

Algunas fallas de Ripple20 fueron reparadas por Treck o por los fabricantes de dispositivos a lo largo de los años debido a los cambios en el código y la capacidad de configuración de Stack, y por la misma razón, muchas de las fallas también tienen varias variantes que aparentemente no se corregirán en el corto plazo hasta que los proveedores realicen una evaluación de riesgos integral. .

• CVE-2020-11896 (puntaje base CVSS v3 10.0): Manejo inadecuado de la inconsistencia de los parámetros de longitud en el componente IPv4/UDP al manejar un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede resultar en la ejecución remota de código.
• CVE-2020-11897 (puntaje base CVSS v3 10.0): Manejo inadecuado de la inconsistencia del parámetro de longitud en el componente IPv6 al manejar un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede resultar en una posible escritura fuera de los límites.
• CVE-2020-11898 (puntaje base CVSS v3 9.8): Manejo inadecuado de la inconsistencia del parámetro de longitud en el componente IPv4 / ICMPv4 al manejar un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede dar lugar a la exposición de información confidencial.
• CVE-2020-11899 (puntaje base CVSS v3 9.8): Validación de entrada incorrecta en el componente IPv6 al manejar un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede permitir la exposición de información confidencial.
• CVE-2020-11900 (puntaje base CVSS v3 de 9.3): Posible doble liberación en el componente de tunelización IPv4 al manejar un paquete enviado por un atacante de red. Esta vulnerabilidad puede resultar en la ejecución remota de código.
• CVE-2020-11901 (puntaje base CVSS v3 9.0): Validación de entrada incorrecta en el componente de resolución de DNS al manejar un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede resultar en la ejecución remota de código.

Puede encontrar detalles sobre el resto de las vulnerabilidades en un aviso publicado por el gobierno de EE. UU.

Los investigadores de seguridad cibernética de JSOF informaron de manera responsable sus hallazgos a la empresa Treck, que luego corrigió la mayoría de las fallas con el lanzamiento de la versión 6.0.1.67 o superior de la pila TCP/IP.

Los investigadores también se pusieron en contacto con los proveedores de fabricación de dispositivos y semiconductores afectados, incluidos HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter y Quadros, muchos de los cuales ya han reconocido la falla y el resto aún está evaluando sus productos antes de hacerlo público. .

«La divulgación se pospuso dos veces después de que algunos de los proveedores participantes solicitaran más tiempo, y algunos de los proveedores expresaron retrasos relacionados con COVID-19. Por consideración a estas empresas, el período de tiempo se extendió de 90 a más de 120 días. Aun así, se hizo difícil tratar con algunas de las empresas participantes, ya que exigían más, y algunas, desde nuestra perspectiva, parecían mucho más preocupadas por la imagen de su marca que por parchear las vulnerabilidades”, dijeron los investigadores.

Dado que millones de dispositivos no recibirán actualizaciones de parches de seguridad para abordar las vulnerabilidades de Ripple20 en el corto plazo, los investigadores y el ICS-CERT han recomendado a los consumidores y organizaciones que:

• Minimice la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, y asegúrese de que no sean accesibles desde Internet.
• Ubique redes de sistemas de control y dispositivos remotos detrás de firewalls y aíslelos de la red comercial.

Además de esto, también se recomienda utilizar redes privadas virtuales para conectar de forma segura sus dispositivos a servicios basados ​​en la nube a través de Internet.

En su aviso, CISA también ha pedido a las organizaciones afectadas que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.