Ripple20: Vulnerabilidades em milhões de dispositivos IoT

Especialistas israelenses afirmam que milhões de dispositivos conectados à IdC contêm vulnerabilidades críticas – e essa é a estimativa mais conservadora.

Especialistas da empresa israelense JSOF descobriram 19 vulnerabilidades 0-day, algumas delas consideradas críticas, que afetam centenas de milhões de dispositivos conectados à Internet das Coisas (IoT). A pior parte é que alguns dispositivos nunca receberão atualizações. Todas as vulnerabilidades foram encontradas na biblioteca TCP/IP da Treck Inc., empresa que a desenvolve há mais de duas décadas. O conjunto de vulnerabilidades é denominado Ripple20.

Como isso pode afetá-lo?

Você pode nunca ter ouvido falar da Treck ou de sua biblioteca TCP/IP, mas, dado o número de dispositivos e fornecedores afetados, sua rede corporativa provavelmente inclui pelo menos um eles. A biblioteca está presente em todos os tipos de soluções de IoT, o que significa que os dispositivos vulneráveis ​ vão desde itens como impressoras domésticas e de escritório até equipamentos industriais e médicos.

A criação da Treck é uma biblioteca de baixo nível que permite que os dispositivos interajam com a Internet. Nos últimos 20 anos, desde o lançamento da primeira versão, foi usada por várias empresas – na maioria das vezes é mais fácil ter uma biblioteca pronta do que desenvolver a própria. Algumas empresas simplesmente a aplicaram; outras a modificaram para atender suas necessidades ou a incorporaram em outras bibliotecas.

Além disso, ao procurar empresas afetadas pelo Ripple20, os pesquisadores encontraram vários casos em que o comprador original da biblioteca havia mudado de nome. Em alguns casos, foram adquiridos por outras empresas. Por fim, avaliar o número real de dispositivos que usam essa biblioteca não é simples. “Centenas de milhões” é uma estimativa preliminar aproximada. Pode até ser bilhões.

Essa cadeia de suprimentos bastante complexa também é motivo para alguns dispositivos nunca serem corrigidos.

Quais são as vulnerabilidades e como são perigosas?

O nome geral Ripple20 abrange um total de 19 vulnerabilidades de diferentes graus de criticidade. Os pesquisadores ainda não divulgaram todos os detalhes técnicos; planejam fazer isso em uma conferência da Black Hat, nos próximos meses. Sabe-se, no entanto, que pelo menos quatro das vulnerabilidades são consideradas críticas, com pontuação CVSS superior a 9,0.

Outras quatro vulnerabilidades que não estão presentes na versão mais recente da biblioteca aparecem nas versões anteriores ainda usadas nos dispositivos – ela foi atualizada por outros motivos além de segurança, mas muitos fornecedores continuaram usando versões mais antigas.

De acordo com a JSOF, algumas das vulnerabilidades permitem que os invasores – que podem permanecer ocultos por anos – assumam o controle total de um dispositivo e o usem para roubar dados de impressoras ou alterar o comportamento do dispositivo. Duas vulnerabilidades críticas permitem a execução remota de código arbitrário. Uma lista de vulnerabilidades e uma demonstração em vídeo estão disponíveis no site dos pesquisadores.

O que fazer?

Para empresas que usam a biblioteca TCP/IP da Treck, os pesquisadores recomendam entrar em contato com os desenvolvedores e atualizar a biblioteca para a versão mais recente. Se isso não for possível, desative todas as funções vulneráveis ​​nos dispositivos.

Quanto às empresas que usam dispositivos vulneráveis ​​em seu trabalho diário, elas enfrentam uma tarefa assustadora. Para começar, eles precisam determinar se há vulnerabilidades em qualquer um dos equipamentos usados. Isso não é tão simples quanto parece e pode exigir a assistência de centros ou fornecedores regionais do CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança, em tradução livre). Além disso, as empresas são aconselhadas a:

  • Atualizar o firmware de todos os dispositivos (algo recomendado de toda maneira, independentemente de novas vulnerabilidades).
  • Reduzir o acesso à Internet de dispositivos críticos IoT;
  • Separar a rede corporativa das redes em que esses dispositivos são usados ​​(dica: faça isso independentemente de qualquer coisa);
  • Configurar proxies DNS em redes com dispositivos IoT.

De nossa parte, recomendamos o uso de uma solução de segurança confiável capaz de detectar atividades anormais na rede corporativa. Por exemplo, esse é um dos muitos benefícios do Kaspersky Threat Management and Defense.

Dicas