vulnerabilidades

Ripple20: vulnerabilidades en millones de dispositivos del IdC

Expertos israelíes afirman que centenares de millones de dispositivos del IdC presentan vulnerabilidades críticas; y esa es la estimación más conservadora.

Hugh Aver
24 Jun 2020

Expertos de la empresa israelí JSOF han hallado 19 vulnerabilidades de día cero, algunas de ellas críticas, que afectan a cientos de millones de dispositivos del Internet de las cosas (IdC). La peor parte es que algunos dispositivos nunca recibirán actualizaciones. Todas las vulnerabilidades se hallaron en la biblioteca de TCP/IP de Treck Inc., que la empresa ha estado desarrollando por más de dos décadas. El sistema de vulnerabilidades se denomina Ripple20.

¿Cómo te afecta esto?

Puede que nunca hayas escuchado de Treck o de su biblioteca de TCP/IP, pero dado el número de dispositivos y vendedores afectados, probablemente tu red corporativa incluye al menos uno. La biblioteca está presente en toda suerte de soluciones del IdC, lo que significa que los dispositivos vulnerables del IdC incluyen artículos que van de impresoras domésticas y de oficina a equipo industrial y médico.

La creación de Treck es una biblioteca de bajo nivel que permite que los dispositivos interactúen recíprocamente con el internet. Durante los últimos 20 años, desde el lanzamiento de la primera versión, numerosas empresas la han utilizado, pues a menudo, es más fácil tomar una biblioteca prefabricada que desarrollar la propia. Algunos la implementaron sin más; otros la modificaron para adaptarla a sus necesidades o la integraron con otras bibliotecas.

Por otra parte, al buscar empresas afectadas por Ripple20, los investigadores hallaron diversos casos en la cual el comprador original de la librería había cambiado su nombre. En algunos casos, otra empresa había asumido el control. En última instancia, no es sencillo evaluar el número real de dispositivos que utilizan esta biblioteca. Los “centenares de millones” es una estimación preliminar aproximada. Podrían ser incluso miles de millones.

Esta cadena de suministro más bien compleja es también la razón de que algunos dispositivos nunca reciban parches.

¿Qué son las vulnerabilidades y por qué son peligrosas?

El nombre genérico Ripple20 cubre un total de 19 vulnerabilidades con grados variables de criticidad. Los investigadores aún tienen que divulgar todos los detalles técnicos; planean hacerlo en una conferencia Black Hat a fines del verano. No obstante, se sabe que al menos cuatro vulnerabilidades se consideran críticas, que presentan una puntuación CVSS (sistema de puntuación de vulnerabilidades comunes) de más de 9.0.

Otras cuatro vulnerabilidades que no están presentes en la versión más reciente de la biblioteca aparecen en las iteraciones anteriores que todavía se usan en dispositivos; la biblioteca se ha actualizado por razones diferentes a la seguridad, y muchos vendedores han seguido utilizando versiones más viejas.

De acuerdo con JSOF, algunas de las vulnerabilidades permiten que los atacantes (quiénes pueden estar al acecho durante años sin ser detectados) tomen el control total de un dispositivo y lo utilicen para robar datos de las impresoras o cambiar el comportamiento del dispositivo. Dos vulnerabilidades críticas permiten la ejecución remota de código arbitrario. En el sitio web de los investigadores está disponible una lista de vulnerabilidades y un video de demostración.

Qué hacer al respecto

Para las empresas que utilizan la biblioteca de TCP/IP de Treck, los investigadores recomiendan contactar a los desarrolladores y actualizar la biblioteca a su versión más reciente. Si eso no es posible, desactiva todas las funciones vulnerables en los dispositivos.

En cuanto a las empresas que utilizan dispositivos vulnerables en su trabajo diario, ellas enfrentan una tarea abrumadora. Para empezar, necesitan determinar si las vulnerabilidades se encuentran presentes en el equipo que utilicen. Eso no es tan simple como suena, y puede ser que requiera la ayuda de los proveedores o los centros regionales de asistencia CERT (equipo de respuesta a emergencias informáticas). Además, se aconseja que las empresas hagan lo siguiente:

Actualicen el firmware de todos los dispositivos (se recomienda de todos modos, sin importar las nuevas vulnerabilidades).
Reduzcan al mínimo el acceso a Internet de los dispositivos críticos del IdC;
Separen la red de la oficina de las redes en las cuales se utilizan dichos dispositivos (consejo imperecedero: haz esto cueste lo que cueste);
Configuren los proxies de DNS en redes con los dispositivos de IdC.

Por nuestra parte, recomendamos el uso de una solución de seguridad confiable capaz de detectar la actividad anormal en la red corporativa. Por ejemplo, este es uno de los muchos beneficios de la solución Kaspersky Threat Management and Defense.

Automóviles: seguridad del piloto automático

Para proteger al ADAS de interferencia externa, los automóviles necesitan una estrategia especial de ciberseguridad.

Privacidad y niños

Soluciones Targeted Security

Otras soluciones

OTRA INDUSTRIA

OTROS PRODUCTOS

OTROS SERVICIOS

Ripple20: vulnerabilidades en millones de dispositivos del IdC

¿Cómo te afecta esto?

¿Qué son las vulnerabilidades y por qué son peligrosas?

Qué hacer al respecto

KeyTrap: cómo romper un servidor DNS con un único paquete

Publicada una vulnerabilidad en la biblioteca Glibc

Automóviles: seguridad del piloto automático

Consejos

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Browser-in-the-browser: una nueva técnica de phishing

¿Quieres invertir por internet? Ten primero en cuenta estos consejos de seguridad

Suscríbete y recibe nuestras publicaciones en tu correo

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog