Llegamos a ustedes gracias a:



Alertas de Seguridad

Las vulnerabilidades de la pila TCP/IP

Amenazan a los dispositivos IoT

[21/04/2021] El proveedor de seguridad Forescout y JSOF Research han revelado esta semana un conjunto de vulnerabilidades en las pilas TCP/IP utilizadas por FreeBSD y tres populares sistemas operativos en tiempo real diseñados para la IoT. Las nueve vulnerabilidades podrían afectar a 100 millones de dispositivos.

Nucleus NET, IPNet y NetX son los otros sistemas operativos afectados por las vulnerabilidades, que un informe conjunto publicado por Forescout y JSOF bautizó como Name:Wreck.

En un informe sobre las vulnerabilidades, Forescout escribe que las pilas TCP/IP son particularmente vulnerables por varias razones, entre ellas el uso generalizado, el hecho de que muchas de esas pilas se crearon hace mucho tiempo y el hecho de que constituyen una atractiva superficie de ataque, gracias a la funcionalidad no autenticada y a los protocolos que atraviesan los perímetros de la red.

El Sistema de Nombres de Dominio sufre prácticamente los mismos problemas, que son explotables en el caso de las vulnerabilidades de Name:Wreck.

"El DNS es un protocolo complejo que suele dar lugar a implementaciones vulnerables, y estas vulnerabilidades pueden ser aprovechadas a menudo por atacantes externos para tomar el control de millones de dispositivos simultáneamente", señaló el informe.

Name:Wreck puede permitir tanto ataques de denegación de servicio como la ejecución remota de código, y es probable que se deba a malas prácticas de codificación en el análisis del contenido de las respuestas DNS, según Eric Hanselman, analista principal de investigación de 451 Research. Esencialmente, un valor clave en el sistema utilizado para comprimir las respuestas DNS en paquetes más pequeños y más fáciles de mover no es validado por el sistema, y puede ser manipulado por un mal actor.

"La dificultad de los ataques de DNS es que las respuestas de DNS pueden contener una cantidad significativa de información", indicó Hanselman. "Hay tantas opciones de formato que no es raro que se devuelva un volumen importante de datos en una respuesta DNS, y si no se hace un seguimiento de las consultas DNS y se permite OpenDNS en el entorno, es muy difícil rastrear la respuesta para asegurarse de que se hace un seguimiento del estado".

El peligro real al que se expone una organización difiere en función de la pila vulnerable que utilice. Según el informe, es probable que la vulnerabilidad de FreeBSD esté más extendida, ya que afecta a millones de redes informáticas, incluidas las de Netflix y Yahoo, así como a dispositivos de red tradicionales, como firewalls y routers, pero es más fácil de solucionar.

"Se trata de sistemas manejables: deberíamos ser capaces de actualizarlos", afirma Brian Kime, analista principal de Forrester. "[Y] deberían tener prioridad para la reparación, porque son parte de su pila de red".

No se puede decir lo mismo, en muchos casos, de los sistemas operativos en tiempo real afectados por Name:Wreck, ya que los problemas estándar que hacen que la seguridad de los dispositivos IoT siga en juego aquí. La capacidad de parchear y actualizar el firmware todavía no es una característica estándar, y los OEM de los dispositivos conectados -que pueden ser bastante antiguos, y pueden no haber sido diseñados para estar orientados a Internet en primer lugar- podrían incluso no estar operando ya.

En los casos en los que esos dispositivos IoT son vulnerables, la seguridad fuerte tiene que empezar en la capa de red, según Hanselman. Supervisar la red directamente en busca de actividad anómala -que, de nuevo, a veces puede ser difícil de detectar en el caso de una vulnerabilidad TCP/IP- es un buen comienzo, pero lo que realmente se necesita son técnicas como la protección de las consultas DNS.

"Afortunadamente para la mayoría de las organizaciones, la monitorización del DNS se ha vuelto mucho más frecuente, porque el DNS es una de las mejores maneras de hacer la detección del ransomware", señaló. "La mayoría de las organizaciones deberían contar con una protección razonable de consultas DNS".

El alcance activo de estas vulnerabilidades está limitado por varios factores, entre ellos si los dispositivos afectados tienen acceso directo a Internet -poco probable en el caso de muchos de los dispositivos médicos descritos- y lo parcheables que son. Además, cabe señalar que no se cree que ninguno haya sido explotado todavía. Sin embargo, un objetivo clave a tener en cuenta podrían ser las impresoras.

Según Kime, las impresoras son muy accesibles, ya que son más o menos omnipresentes y no suelen llamar mucho la atención en materia de seguridad, y, una vez comprometidas, podrían ofrecer un vector a través del cual se podría acceder a otros dispositivos vulnerables de una red.

"Rara vez se evalúan las vulnerabilidades de estos dispositivos, por lo que son explotados por los actores de las amenazas", anotó. "Podría ver a los malos actores utilizando las vulnerabilidades del IoT como persistencia una vez que han explotado algo más para entrar en el entorno".

Name:Wreck no es ni mucho menos el único conjunto de vulnerabilidades TCP/IP. Forescout y JSOF, entre ellos, han descubierto varias familias de este tipo de fallas de seguridad en el pasado, incluyendo Ripple20, Amnesia:33 y Number:Jack solo en el último año natural, y los expertos coinciden en que es probable que salgan a la luz más vulnerabilidades en el futuro inmediato. Por un lado, simplemente no hay tantas pilas IP en existencia, lo que significa que muchas se utilizan en una enorme gama de aplicaciones, y que generalmente se asume que son seguras.

"Todo el mundo da por sentado que puede extraer la pila IP de su distribución [de software de código abierto] favorita, y que ésta debería estar bien reforzada", afirmó Hanselman. "En su mayor parte, eso es cierto, pero las pilas de red se ocupan de una gestión de estados bastante compleja, y puede haber formas inesperadas de manipularlas".