La reciente publicación de toda una serie de vulnerabilidades en una librería masivamente utilizada en dispositivos IoT, pone de nuevo de manifiesto los enormes riesgos que el uso de este tipo de equipos puede conllevar en cualquier entorno debido a la dejadez por parte de los fabricantes y los propios usuarios en cuanto a la seguridad de los mismos.

ripple20

 

Un total de 19 vulnerabilidades que afectan a una única librería TCP/IP presente en, se calcula que, cientos de millones de dispositivos IoT lanzados al mercado durante los últimos 20 años por parte de multitud de fabricantes diferentes. Este es el desalentador panorama que se repite de nuevo con Ripple20.

Dispositivos médicos, equipamiento de energía, dispositivos en medios de transporte, dispositivos smarthome, impresoras, routers, etc... todos ellos tienen en común la utilización de la una librería TCP/IP, desarrollada hace más de 20 años y para al cual se han detectado tras diferentes investigaciones toda una serie de vulnerabilidades críticas que permitirían a atacantes tomar el control de estos dispositivos de manera remota. Investigadores de la empresa JSOF habían centrado sus investigaciones en esta librería TCP/IP al detectar su presencia en una enorme variedad de dispositivos en diferentes sectores industriales. Desgraciadamente estas investigaciones han terminado con el descubrimiento como decíamos de graves vulnerabilidades.

Tras el trabajo de los investigadores con CERT de diferentes países toda una buena serie de parches están ya disponibles para remediar estas vulnerabilidades. Pero sigue existiendo un enorme número de empresas que o bien no tienen la capacidad para parchear sus productos, no les interesa, que ignoran que sus productos contienen esa librería o que directamente ya no existen. Por lo que me atrevería a decir que la gran mayoría de dispositivos IoT que presentan esta vulnerabilidad la seguirán teniendo siempre ya que jamás serán parcheados.

Las vulnerabilidades mas graves, que han recibido una nota superior a 9.8 por parte del DHS estadounidense serían:

CVE-2020-11896 - CVSSv3 score: 10
CVE-2020-11897 - CVSSv3 score: 10
CVE-2020-11898 - CVSSv3 score: 9.8
CVE-2020-11899 - CVSSv3 score: 9.8

Solo teniendo en cuenta estas cuatro, del total de 19 detectadas, un atacante podría tomar el control de esos dispositivos, además obviamente de acceder a toda su información y/o alternativamente usarlos por ejemplo como parte de botnets,etc.. Hablamos de que muchos de estos dispositivos están conectados directamente a Internet mientras que otros sin duda serán objetivos tras haber conseguido acceso a la red por otros medios.

Como recomendación, diríamos que se deben limitar los dispositivos IoT solo a aquellos que sean imprescindibles. Limitar la compra de los mismos a empresas que demuestren una política proactiva de actualizaciones y sobretodo tenemos por nuestra parte que preocuparnos de la seguridad de los mismos ya que sin saberlo muchos de ellos son puertas abiertas a nuestra casa o empresa comenzando por revisar si cualquiera de nuestros dispositivos ya dispone de algún tipo de actualización.

Fuente JSOF
Fuente US-CERT