esenfrdeitptru

El Laboratorio de investigación Forescout, descubrió 33 vulnerabilidades que afectan a millones de dispositivos de IoT, OT y TI

AS-37-2020

Fecha: 8/Dic/2020

Resumen:

El Laboratorio de investigación Forescout, descubrió 33 vulnerabilidades que afectan a millones de dispositivos de IoT, OT y TI, las cuales presentan un riesgo inmediato para las organizaciones de todo el mundo.

AMNESIA:33 es un conjunto de 33 vulnerabilidades que afectan a cuatro pilas TCP/IP de código abierto (uIP, FNET, picoTCP y Nut/Net), que sirven colectivamente como componentes fundamentales de millones de dispositivos conectados en todo el mundo. Estas vulnerabilidades causan principalmente daños en la memoria, lo que permite a los atacantes: ejecutar código malintencionado, realizar ataques de denegación de servicio y robar información sensible.

Estas vulnerabilidades afectan a varios componentes de las cuatro pilas TCP/IP, incluidos DNS, IPv6, IPv4, TCP, ICMP, LLMNR y mDNS. Si bien es difícil evaluar el impacto total de AMNESIA:33, se estima que más de 150 proveedores y millones de dispositivos en todo el mundo son vulnerables. Los dispositivos afectados van desde conmutadores de red a impresoras inteligentes, sensores ambientales a cámaras de seguridad, quioscos de auto-checkout a rastreadores de activos RFID, por nombrar solo algunos.

El software de código abierto se utiliza comúnmente en componentes embebidos y dispositivos IoT/OT. Tesla, Siemens, Honeywell y la mayoría de las empresas de tecnología avanzada aprovechan el software de código abierto.

Dado que el código fuente se reutiliza en el 88% de los proyectos embebidos, actúa como multiplicador de fuerza para vulnerabilidades como AMNESIA:33.

 Imagen amnesia33


Fig. 1 Componentes o dispositivos que corren la pila vulnerable

Mejores prácticas para mitigar el riesgo.

Debido al alto esfuerzo que implica identificar y parchear todos los dispositivos vulnerables, las organizaciones deben considerar un espectro más amplio de controles de mitigación y compensación que incluya:

Evalúe el riesgo y exposición: Las organizaciones deben realizar una evaluación de riesgos antes de la implementación de mitigaciones. Esto incluye identificar dispositivos potencialmente vulnerables, su negocio contexto y la criticidad y sus comunicaciones vías de acceso y la exposición a Internet. Usar soluciones que proporcionan visibilidad del dispositivo basada en la red; clasificación granular e identificación de IoT, OT y dispositivos de TI; y monitoreo de las comunicaciones de red. Sobre la base de esta evaluación, determine qué nivel de mitigación se requiere.

Confiar en servidores DNS internos: Configure dispositivos para confiar en servidores DNS internos siempre que sea posible y monitorear de cerca el tráfico DNS externo, como varias vulnerabilidades en AMNESIA:33 están relacionadas a los clientes DNS, que requieren un servidor DNS malintencionado para responder con paquetes maliciosos.

Deshabilitar o bloquear el tráfico IPv6: dado que varias vulnerabilidades en AMNESIA:33 están relacionadas con componentes IPv6, deshabilite o bloquee el tráfico de red IPv6 innecesario.

Segmento para mitigar el riesgo: para dispositivos IoT y OT que no se pueden parchear, utilizar la segmentación para reducir al mínimo la exposición a la red y la probabilidad de compromiso sin afectar a la misión crítica funciones u operaciones de la organización. La segmentación y la zonificación también limitan el radio de explosión e impacto si un dispositivo vulnerable se convierte en “Comprometido”.

Parche cuando sea posible: la mejor mitigación es identificar y parchear dispositivos vulnerables. Sin embargo, esto es más fácil decirlo que hacerlo porque:

  • Es posible que los parches no estén disponibles para componentes del proveedor de dispositivos IoT u OT.
  • La aplicación directa de parches a los componentes embebidos puede anular la garantía del fabricante del dispositivo.
  • Un dispositivo puede ser parte de una misión crítica función u operación comercial de alta disponibilidad y puede no ser parcheable hasta que se programe una ventana de mantenimiento en un futuro.

Supervisar paquetes con formato incorrecto: supervise todo el tráfico de red en busca de paquetes con formato incorrecto (por ejemplo, que tengan longitudes de campo no conformes o sumas de comprobación con errores) que intenten aprovechar vulnerabilidades conocidas o posibles vulnerabilidades de día cero ya que muchas de éstas están relacionadas con IPv4 y otros componentes estándar de las pilas. El tráfico IP anómalo y malformado debe ser bloqueado, o su presencia debe ser al menos monitoreada por los operadores de red.

Referencias:

https://www.forescout.com/research-labs/amnesia33/

https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/certcc-releases-information-vulnerabilities-affecting-open-source

https://www.zdnet.com/article/amnesia33-vulnerabilities-impact-millions-of-smart-and-industrial-devices/

https://www.cyberscoop.com/iot-tcp-ip-stacks-ot-it-forescout/

 

Informado por el FIRST al CSIRT-EPN