100 millones más de dispositivos de IoT están expuestos, y no serán los últimos

Elena Lacey

En los últimos años, los investigadores han encontrado una sorprendente cantidad de vulnerabilidades en un código aparentemente simple que ayuda a los dispositivos a comunicarse con Internet. Un nuevo conjunto de nueve vulnerabilidades de este tipo revelará aproximadamente 100 millones de dispositivos en todo el mundo, incluidos varios productos de Internet de las cosas y servidores de administración de TI. Sin embargo, la pregunta más importante que los investigadores están tratando de responder es cómo impulsar cambios significativos y tomar contramedidas efectivas a medida que este tipo de vulnerabilidades se vuelven cada vez más comunes.

Apodado nombre: Wrack, los errores recientemente descubiertos residen en cuatro pilas ubicuas de TCP / IP, código que incorpora protocolos de comunicación de red para establecer conexiones entre dispositivos e Internet. Las debilidades de los sistemas operativos, como el proyecto de código abierto FreeBSD y Nucleus NET de la empresa de control industrial Siemens, están relacionadas con la forma en que estas pilas implementan el directorio telefónico de Internet «Sistema de nombres de dominio». Todos ellos permitirían a un atacante bloquear un dispositivo y desconectarlo o controlarlo de forma remota. Estos dos ataques pueden potencialmente causar estragos en una red, especialmente en infraestructura crítica, atención médica o entornos de fabricación donde la infiltración de un dispositivo conectado o un servidor de TI puede interrumpir un sistema completo o servir como un punto de partida valioso para excavar en una red. víctima.

Todas las vulnerabilidades descubiertas por investigadores de las empresas de seguridad Forescout y JSOF ahora están parcheadas. Sin embargo, esto no necesariamente conduce a correcciones en dispositivos reales, que a menudo ejecutan versiones de software más antiguas. A veces, los fabricantes no han creado mecanismos para actualizar este código, pero en otras situaciones no fabrican el componente en el que se ejecutan y simplemente no tienen control sobre el mecanismo.

«Con todo esto en mente, puede parecer que solo estamos trayendo problemas a la mesa, pero realmente estamos tratando de crear conciencia, trabajar con la comunidad y encontrar formas de abordar esto», dice Elisa Costante. Vicepresidente de Investigación de Forescout que ha realizado otra investigación similar en un proyecto llamado Proyecto Memoria. “Analizamos más de 15 pilas de TCP / IP, tanto patentadas como de código abierto, y descubrimos que no había una diferencia real en la calidad. Sin embargo, estas similitudes también son útiles porque hemos descubierto que tienen vulnerabilidades similares. Cuando analizamos un nuevo lote, podemos buscar en los mismos lugares y compartir estos problemas comunes con otros investigadores y desarrolladores. «

Los investigadores aún no han visto ninguna evidencia de que los atacantes estén explotando activamente este tipo de vulnerabilidades en la naturaleza. Pero con cientos de millones, tal vez miles de millones, de dispositivos potencialmente afectados por muchas condiciones diferentes, la exposición es significativa.

Kurt John, director de ciberseguridad de Siemens USA, dijo a Wired en un comunicado que la empresa “trabaja en estrecha colaboración con los gobiernos y los socios de la industria para mitigar las vulnerabilidades. En este caso, nos complace haber trabajado con un socio de este tipo, Forescout, para identificar rápidamente los puntos débiles y mitigar la vulnerabilidad «.

Los investigadores coordinaron la divulgación de las fallas con los desarrolladores que lanzaron parches, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional y otros grupos de seguimiento de vulnerabilidades. Errores similares que Forescout y JSOF encontraron en otras pilas de TCP / IP patentadas y de código abierto han expuesto cientos de millones, y posiblemente incluso miles de millones, de dispositivos en todo el mundo.

Los problemas son tan comunes en estos protocolos de red ubicuos porque se han transmitido prácticamente intactos durante décadas a medida que la tecnología evoluciona a su alrededor. Como no está roto, esencialmente nadie lo arreglará.

«Bueno o malo, estos dispositivos contienen código que la gente escribió hace 20 años, con la mentalidad de seguridad de hace 20 años», dijo Ang Cui, director ejecutivo de la empresa de seguridad de IoT Red Balloon Security. «Y funciona; nunca falló. Pero tan pronto como lo conecta a Internet, es inseguro. Y eso no es sorprendente, ya que durante estos 20 años realmente hemos tenido que repensar cómo mantenemos seguras las computadoras de uso general».

El problema es notorio en este punto y la industria de la seguridad no ha podido solucionarlo ya que el código zombie vulnerable parece seguir apareciendo.

«Hay muchos ejemplos de la recreación inadvertida de estos errores de red de bajo nivel de la década de 1990», dijo Kenn White, codirector del Open Crypto Audit Project. «Muchos de ellos se refieren a la falta de incentivos económicos para enfocarse realmente en la calidad de este código».

Hay buenas noticias sobre las nuevas vulnerabilidades que encontraron los investigadores. Aunque es posible que los parches no se reproduzcan completamente con tanta rapidez, están disponibles. Otras vulnerabilidades pueden reducir la exposición al evitar que tantos dispositivos como sea posible se conecten directamente a Internet y utilicen un servidor DNS interno para enrutar los datos. Forescouts Costante también señala que las actividades de explotación serían bastante predecibles, lo que facilitaría la detección de intentos de explotar estas deficiencias.

Cuando se trata de soluciones a largo plazo, no existe una solución rápida para todos los proveedores, fabricantes y desarrolladores involucrados en estas cadenas de suministro y productos. Sin embargo, Forescout ha lanzado un script de código abierto que los administradores de red pueden usar para identificar dispositivos y servidores de IoT potencialmente vulnerables en sus entornos. La compañía también mantiene una biblioteca de código abierto de consultas de bases de datos que ayuda a los investigadores y desarrolladores a encontrar vulnerabilidades similares relacionadas con DNS.

“Es un problema común. Esto no es solo un problema para un tipo de dispositivo ”, dice Costante. “Y no se trata solo de dispositivos IoT baratos. Existe una creciente evidencia de cuán extendido está esto. Por eso seguimos trabajando en la sensibilización. «

Esta historia apareció originalmente en wired.com.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí