O Departamento de Segurança Interna e CISA ICS-CERT será hoje tema de segurança crítica consultivo aviso sobre mais de uma dúzia de vulnerabilidades recém-descobertas que afetam bilhões de dispositivos de Internet-conectado fabricados por mais de 500 fornecedores em todo o mundo.
Apelidado de " Ripple20 " , o conjunto de 19 vulnerabilidades reside em uma biblioteca de software TCP / IP de baixo nível desenvolvida pela Treck, que, se armada, poderia permitir que atacantes remotos obtivessem controle completo sobre dispositivos direcionados - sem exigir interação do usuário.
De acordo com a empresa israelense de segurança cibernética JSOF - que descobriu essas falhas - os dispositivos afetados estão em uso em vários setores, desde dispositivos domésticos / de consumo a médicos, assistência médica, data centers, empresas, telecomunicações, petróleo, gás, energia nuclear, transporte e muitos outros. outros na infraestrutura crítica.
"Apenas alguns exemplos: os dados podem ser roubados de uma impressora, o comportamento de uma bomba de infusão pode ser alterado ou os dispositivos de controle industrial podem funcionar mal. Um invasor pode ocultar códigos maliciosos nos dispositivos incorporados por anos", disseram os pesquisadores em um relatório. compartilhado.
"Uma das vulnerabilidades pode permitir a entrada de fora nos limites da rede; isso é apenas uma pequena amostra dos riscos em potencial".
Há quatro vulnerabilidades críticas na pilha TCP / IP da Treck, com pontuações CVSS acima de 9, que podem permitir que os invasores executem código arbitrário em dispositivos alvo remotamente, e um bug crítico afeta o protocolo DNS.
"As outras 15 vulnerabilidades estão em graus variados de gravidade, com pontuação no CVSS de 3,1 a 8,2 e efeitos que variam de negação de serviço a potencial execução remota de código", diz o relatório.
Algumas falhas do Ripple20 foram corrigidas pelos fabricantes da Treck ou de dispositivos ao longo dos anos devido a alterações de código e configurabilidade da pilha, e pelo mesmo motivo, muitas das falhas também têm várias variantes que aparentemente não seriam corrigidas tão cedo, até que os fornecedores realizassem uma avaliação abrangente dos riscos. .
- CVE-2020-11896 (CVSS v3 base score 10.0): Manuseio inadequado da inconsistência do parâmetro de comprimento no componente IPv4 / UDP ao manipular um pacote enviado por um invasor de rede não autorizado. Essa vulnerabilidade pode resultar na execução remota de código.
- CVE-2020-11897 (CVSS v3 base score 10.0): Manuseio inadequado da inconsistência do parâmetro de comprimento no componente IPv6 ao manipular um pacote enviado por um invasor de rede não autorizado. Essa vulnerabilidade pode resultar em possíveis gravações fora dos limites.
- CVE-2020-11898 (CVSS v3 base score 9.8): Manuseio inadequado da inconsistência do parâmetro de comprimento no componente IPv4 / ICMPv4 ao manipular um pacote enviado por um invasor de rede não autorizado. Essa vulnerabilidade pode resultar na exposição de informações confidenciais.
- CVE-2020-11899 (CVSS v3 base score 9.8): Validação incorreta de entrada no componente IPv6 ao manipular um pacote enviado por um invasor de rede não autorizado. Essa vulnerabilidade pode permitir a exposição de informações confidenciais.
- CVE-2020-11900 (pontuação básica do CVSS v3 de 9.3): Possível liberação dupla no componente de encapsulamento IPv4 ao manipular um pacote enviado por um invasor de rede. Essa vulnerabilidade pode resultar na execução remota de código.
- CVE-2020-11901 (CVSS v3 base score 9.0): Validação incorreta de entrada no componente resolvedor de DNS ao manipular um pacote enviado por um invasor de rede não autorizado. Essa vulnerabilidade pode resultar na execução remota de código.
Você pode encontrar detalhes sobre o restante das vulnerabilidades em um comunicado divulgado pelo governo dos EUA.
Os pesquisadores de segurança cibernética do JSOF relataram suas descobertas com responsabilidade à empresa Treck, que corrigiu a maioria das falhas com o lançamento da pilha TCP / IP versão 6.0.1.67 ou superior.
Os pesquisadores também contataram mais de 500 fabricantes de semicondutores e fabricantes de dispositivos afetados, incluindo - HP , Schneider Electric, Intel , Rockwell Automation, Caterpillar, Baxter e Quadros - muitos dos quais já reconheceram a falha e o restante ainda estão fazendo uma avaliação de seus produtos antes indo a público.
"A divulgação foi adiada duas vezes depois que pedidos por mais tempo vieram de alguns dos fornecedores participantes, com alguns dos fornecedores expressando atrasos relacionados ao COVID-19. Fora de consideração por essas empresas, o período foi estendido de 90 para mais de 120 dias Mesmo assim, algumas das empresas participantes se tornaram difíceis de lidar, pois exigiam mais, e algumas, da nossa perspectiva, pareciam muito mais preocupadas com a imagem de sua marca do que com a correção das vulnerabilidades ", disseram os pesquisadores.
Como milhões de dispositivos não receberiam atualizações de patches de segurança para solucionar as vulnerabilidades do Ripple20 tão cedo, pesquisadores e o ICS-CERT recomendaram aos consumidores e à organização que:
- Minimize a exposição da rede para todos os dispositivos e / ou sistemas do sistema de controle e verifique se eles não estão acessíveis na Internet.
- Localize redes do sistema de controle e dispositivos remotos atrás de firewalls e isole-os da rede comercial.
Além disso, também é recomendável usar redes privadas virtuais para conectar com segurança seus dispositivos a serviços baseados em nuvem pela Internet.
Em seu comunicado, a CISA também solicitou às organizações afetadas que realizassem análise de impacto e avaliação de risco adequadas antes de implantar medidas defensivas.
