Expertos de la empresa israelí JSOF han hallado 19 vulnerabilidades de día cero, algunas de ellas críticas, que afectan a cientos de millones de dispositivos del Internet de las cosas (IdC). La peor parte es que algunos dispositivos nunca recibirán actualizaciones. Todas las vulnerabilidades se hallaron en la biblioteca de TCP/IP de Treck Inc., que la empresa ha estado desarrollando por más de dos décadas. El sistema de vulnerabilidades se denomina Ripple20.
¿Cómo te afecta esto?
Puede que nunca hayas escuchado de Treck o de su biblioteca de TCP/IP, pero dado el número de dispositivos y vendedores afectados, probablemente tu red corporativa incluye al menos uno. La biblioteca está presente en toda suerte de soluciones del IdC, lo que significa que los dispositivos vulnerables del IdC incluyen artículos que van de impresoras domésticas y de oficina a equipo industrial y médico.
La creación de Treck es una biblioteca de bajo nivel que permite que los dispositivos interactúen recíprocamente con el internet. Durante los últimos 20 años, desde el lanzamiento de la primera versión, numerosas empresas la han utilizado, pues a menudo, es más fácil tomar una biblioteca prefabricada que desarrollar la propia. Algunos la implementaron sin más; otros la modificaron para adaptarla a sus necesidades o la integraron con otras bibliotecas.
Por otra parte, al buscar empresas afectadas por Ripple20, los investigadores hallaron diversos casos en la cual el comprador original de la librería había cambiado su nombre. En algunos casos, otra empresa había asumido el control. En última instancia, no es sencillo evaluar el número real de dispositivos que utilizan esta biblioteca. Los “centenares de millones” es una estimación preliminar aproximada. Podrían ser incluso miles de millones.
Esta cadena de suministro más bien compleja es también la razón de que algunos dispositivos nunca reciban parches.
¿Qué son las vulnerabilidades y por qué son peligrosas?
El nombre genérico Ripple20 cubre un total de 19 vulnerabilidades con grados variables de criticidad. Los investigadores aún tienen que divulgar todos los detalles técnicos; planean hacerlo en una conferencia Black Hat a fines del verano. No obstante, se sabe que al menos cuatro vulnerabilidades se consideran críticas, que presentan una puntuación CVSS (sistema de puntuación de vulnerabilidades comunes) de más de 9.0.
Otras cuatro vulnerabilidades que no están presentes en la versión más reciente de la biblioteca aparecen en las iteraciones anteriores que todavía se usan en dispositivos; la biblioteca se ha actualizado por razones diferentes a la seguridad, y muchos vendedores han seguido utilizando versiones más viejas.
De acuerdo con JSOF, algunas de las vulnerabilidades permiten que los atacantes (quiénes pueden estar al acecho durante años sin ser detectados) tomen el control total de un dispositivo y lo utilicen para robar datos de las impresoras o cambiar el comportamiento del dispositivo. Dos vulnerabilidades críticas permiten la ejecución remota de código arbitrario. En el sitio web de los investigadores está disponible una lista de vulnerabilidades y un video de demostración.
Qué hacer al respecto
Para las empresas que utilizan la biblioteca de TCP/IP de Treck, los investigadores recomiendan contactar a los desarrolladores y actualizar la biblioteca a su versión más reciente. Si eso no es posible, desactiva todas las funciones vulnerables en los dispositivos.
En cuanto a las empresas que utilizan dispositivos vulnerables en su trabajo diario, ellas enfrentan una tarea abrumadora. Para empezar, necesitan determinar si las vulnerabilidades se encuentran presentes en el equipo que utilicen. Eso no es tan simple como suena, y puede ser que requiera la ayuda de los proveedores o los centros regionales de asistencia CERT (equipo de respuesta a emergencias informáticas). Además, se aconseja que las empresas hagan lo siguiente:
- Actualicen el firmware de todos los dispositivos (se recomienda de todos modos, sin importar las nuevas vulnerabilidades).
- Reduzcan al mínimo el acceso a Internet de los dispositivos críticos del IdC;
- Separen la red de la oficina de las redes en las cuales se utilizan dichos dispositivos (consejo imperecedero: haz esto cueste lo que cueste);
- Configuren los proxies de DNS en redes con los dispositivos de IdC.
Por nuestra parte, recomendamos el uso de una solución de seguridad confiable capaz de detectar la actividad anormal en la red corporativa. Por ejemplo, este es uno de los muchos beneficios de la solución Kaspersky Threat Management and Defense.