Nuevo NOMBRE: Las vulnerabilidades de WRECK afectan a casi 100 millones de dispositivos IoT

Los investigadores de seguridad han descubierto nueve vulnerabilidades que afectan a cuatro pilas de TCP/IP que afectan a más de 100 millones de dispositivos de consumidores y empresas que un atacante podría explotar para tomar el control de un sistema vulnerable.

Apodadas «NOMBRE: WRECK» por Forescout y JSOF, las fallas son las últimas de una serie de estudios realizados como parte de una iniciativa llamada Proyecto Memoria para estudiar la seguridad de las pilas TCP/IP ampliamente utilizadas que varios proveedores incorporan en su firmware. para ofrecer funciones de conectividad de red e Internet.

«Estas vulnerabilidades se relacionan con las implementaciones del Sistema de Nombres de Dominio (DNS), que causan Denegación de Servicio (DoS) o Ejecución Remota de Código (RCE), lo que permite a los atacantes desconectar los dispositivos de destino o tomar el control de ellos», dijeron los investigadores.

El nombre proviene del hecho de que el análisis de los nombres de dominio puede interrumpir (es decir, «destruir») las implementaciones de DNS en las pilas de TCP/IP, lo que se suma a un aumento reciente de vulnerabilidades como SigRed, SAD DNS y DNSpooq que aprovechan la «agenda telefónica de Internet «como vector de ataque.

También marcan la quinta vez que se identifican debilidades de seguridad en las pilas de protocolos que sustentan millones de dispositivos conectados a Internet.

Específicamente, la última investigación ofrece una mirada más cercana al esquema de «compresión de mensajes» utilizado en el protocolo DNS que «elimina la repetición de nombres de dominio en un mensaje» con la intención de reducir el tamaño de los mensajes, descubriendo múltiples fallas en FreeBSD (12.1). ), IPnet (VxWorks 6.6), Nucleus NET (4.3) y pilas NetX (6.0.1).

En un escenario plausible de ataque del mundo real, los adversarios pueden explotar estas fallas para encontrar su camino hacia la red de una organización a través de un dispositivo conectado a Internet que emite solicitudes de DNS a un servidor y extrae información confidencial, o incluso usarlas como un trampolín para sabotear equipo critico.

Con la excepción de IPnet, FreeBSD, Nucleus NET y NetX han lanzado parches, lo que requiere que los proveedores de dispositivos que usan versiones vulnerables del software envíen un firmware actualizado a sus clientes.

Pero al igual que con las fallas anteriores, existen varios obstáculos para aplicar las correcciones, como la falta de información sobre la pila TCP/IP que se ejecuta en un dispositivo, la dificultad para entregar parches porque los dispositivos no se administran de forma centralizada o no pueden desconectarse debido a su papel central en los procesos de misión crítica, como los sistemas de control industrial y de atención médica.

En otras palabras, además del esfuerzo requerido para identificar todos los dispositivos vulnerables, podría pasar una cantidad de tiempo considerable antes de que los parches de seguridad lleguen del proveedor de la pila al firmware del dispositivo.

Peor aún, en algunos casos, es posible que nunca sea factible implementar un parche, como resultado de lo cual, muchos de los dispositivos afectados probablemente permanecerán expuestos a ataques en los años venideros o hasta que sean dados de baja.

Si bien es posible que no se vislumbre una solución rápida, el punto positivo de los hallazgos es que existen mitigaciones que facilitan la detección de intentos de aprovechar estas fallas. Para empezar, Forescout ha lanzado un script de código abierto para detectar dispositivos que ejecutan las pilas afectadas. Además, los investigadores también recomiendan hacer cumplir los controles de segmentación de la red hasta que los parches estén en su lugar y monitorear todo el tráfico de la red en busca de paquetes maliciosos que intenten explotar fallas dirigidas a clientes DNS, mDNS y DHCP.

También se espera que el estudio se presente en la conferencia Black Hat Asia 2021 el 6 de mayo de 2021.

«NOMBRE: WRECK es un caso en el que las malas implementaciones de una parte específica de un RFC pueden tener consecuencias desastrosas que se extienden a través de diferentes partes de una pila TCP/IP y luego a diferentes productos que usan esa pila», dijeron los investigadores.

«También es interesante que simplemente no implementar soporte para compresión (como se ve, por ejemplo, en lwIP) es una mitigación efectiva contra este tipo de vulnerabilidad. Dado que el ahorro de ancho de banda asociado con este tipo de compresión es casi insignificante en un mundo de conectividad rápida, Creemos que el soporte para la compresión de mensajes DNS presenta actualmente más problemas de los que resuelve».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática