100 millones más de dispositivos de IoT están expuestos, y no serán los últimos

100 millones más de dispositivos de IoT están expuestos, y no serán los últimos

Elena Lacey

En los últimos años, los investigadores han encontrado una cantidad sorprendente de vulnerabilidades en el código aparentemente básico que sustenta la forma en que los dispositivos se comunican con Internet. Ahora, un nuevo conjunto de nueve vulnerabilidades de este tipo están exponiendo aproximadamente 100 millones de dispositivos en todo el mundo, incluida una variedad de productos de Internet de las cosas y servidores de administración de TI. Sin embargo, la pregunta más importante que los investigadores se esfuerzan por responder es cómo impulsar cambios sustanciales e implementar defensas efectivas a medida que se acumulan más y más de estos tipos de vulnerabilidades.

Apodado Nombre: Wreck, las fallas recientemente reveladas se encuentran en cuatro pilas de TCP / IP ubicuas, código que integra protocolos de comunicación de red para establecer conexiones entre dispositivos e Internet. Las vulnerabilidades, pres entes en sistemas operativos como el proyecto de código abierto FreeBSD, así como Nucleus NET de la firma de control industrial Siemens, se relacionan con la forma en que estas pilas implementan la guía telefónica de Internet “Domain Name System”. Todos ellos permitirían a un atacante bloquear un dispositivo y desconectarlo o controlarlo de forma remota. Ambos ataques podrían potencialmente causar estragos en una red, especialmente en infraestructura crítica, atención médica o entornos de fabricación donde la infiltración de un dispositivo conectado o un servidor de TI puede interrumpir todo un sistema o servir como un valioso punto de partida para profundizar en un red de la víctima.

Todas las vulnerabilidades, descubiertas por investigadores de las empresas de seguridad Forescout y JSOF, ahora tienen parches disponibles, pero eso no se traduce necesariamente en correcciones en dispositivos reales, que a menudo ejecutan versiones de software más antiguas. A veces, los fabricantes no han creado mecanismos para actualizar este código, pero en otras situaciones no fabrican el componente en el que se está ejecutando y simplemente no tienen el control del mecanismo.

“Con todos estos hallazgos, sé que puede parecer que solo estamos trayendo problemas a la mesa, pero realmente estamos tratando de crear conciencia, trabajar con la comunidad y encontrar formas de abordarlos”, dice Elisa Costante. vicepresidente de investigación de Forescout, que ha realizado otras investigaciones similares a través de un esfuerzo que denomina Proyecto Memoria. “Hemos analizado más de 15 pilas TCP / IP tanto de código abierto como de propiedad y hemos descubierto que no hay una diferencia real en la calidad. Pero estos puntos en común también son útiles, porque hemos descubierto que tienen puntos débiles similares. Cuando analizamos una nueva pila, podemos ir y mirar estos mismos lugares y compartir esos problemas comunes con otros investigadores y desarrolladores “.

Los investigadores aún no han visto evidencia de que los atacantes estén explotando activamente este tipo de vulnerabilidades en la naturaleza. Pero con cientos de millones, quizás miles de millones, de dispositivos potencialmente afectados por numerosos hallazgos diferentes, la exposición es significativa.

El director de ciberseguridad de Siemens USA, Kurt John, dijo a Wired en un comunicado que la compañía “trabaja en estrecha colaboración con los gobiernos y los socios de la industria para mitigar las vulnerabilidades … En este caso, estamos felices de haber colaborado con uno de esos socios, Forescout, para identificar y mitigar rápidamente la vulnerabilidad.”

Los investigadores coordinado divulgar de las fallas con los desarrolladores lanzando parches, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, y otros grupos de seguimiento de vulnerabilidades. Defectos similares encontrado por Forescout y JSOF en otro código abierto y propietario Pilas de TCP / IP ya se ha descubierto que exponen cientos de millones o incluso posiblemente miles de millones de dispositivos en todo el mundo.

Los problemas aparecen con tanta frecuencia en estos protocolos de red ubicuos porque en gran parte se han transmitido intactos durante décadas a medida que evoluciona la tecnología que los rodea. Esencialmente, como no está roto, nadie lo arregla.

“Para bien o para mal, estos dispositivos tienen código que la gente escribió hace 20 años, con la mentalidad de seguridad de hace 20 años”, dice Ang Cui, director ejecutivo de la empresa de seguridad de IoT Red Balloon Security. “Y funciona; nunca falló. Pero una vez que lo conecta a Internet, es inseguro. Y eso no es tan sorprendente, dado que hemos tenido que repensar realmente cómo hacemos la seguridad para las computadoras de uso general durante esos 20 años “.

El problema es notorio en este punto, y es uno que la industria de la seguridad no ha podido anular, porque el código zombi plagado de vulnerabilidades siempre parece resurgir.

“Hay muchos ejemplos de recreación involuntaria de estos errores de red de bajo nivel de los años 90”, dice Kenn White, codirector del Open Crypto Audit Project. “Mucho de esto se trata de la falta de incentivos económicos para enfocarse realmente en la calidad de este código”.

Hay buenas noticias sobre la nueva lista de vulnerabilidades que encontraron los investigadores. Aunque es posible que los parches no proliferen por completo en el corto plazo, están disponibles. Y otras mitigaciones provisionales pueden reducir la exposición, es decir, evitar que tantos dispositivos como sea posible se conecten directamente a Internet y utilicen un servidor DNS interno para enrutar los datos. Costante de Forescout también señala que la actividad de explotación sería bastante predecible, lo que facilitaría la detección de intentos de aprovechar estas fallas.

Cuando se trata de soluciones a largo plazo, no existe una solución rápida dados todos los proveedores, fabricantes y desarrolladores que participan en estas cadenas de suministro y productos. Pero Forescout ha lanzado un secuencia de comandos de código abierto que los administradores de red pueden usar para identificar dispositivos y servidores de IoT potencialmente vulnerables en sus entornos. La compañía también mantiene una biblioteca de código abierto de consultas de bases de datos que los investigadores y desarrolladores pueden usar para encontrar vulnerabilidades similares relacionadas con DNS con mayor facilidad.

“Es un problema generalizado; no es solo un problema para un tipo específico de dispositivo ”, dice Costante. “Y no se trata solo de dispositivos IoT baratos. Cada vez hay más evidencia de cuán extendido está esto. Por eso seguimos trabajando para crear conciencia “.

Esta historia apareció originalmente en wired.com.

Leave a Reply

Your email address will not be published. Required fields are marked *