Los dispositivos del IoT están cada vez más presentes en nuestros hogares. Muchos de ellos, por desgracia, no reciben actualizaciones de seguridad a pesar de estar conectados a Internet. Por ello, en cuanto se descubre un fallo en ellos, se convierten en vulnerables para siempre. Y ahora, el Departamento de Seguridad Nacional de Estados Unidos y CISA ICS-CERT han lanzado una advertencia tras descubrir casi una veintena de vulnerabilidades que afectan a 500 fabricantes de todo el mundo.
Llamadas Ripple20, las 19 vulnerabilidades de día cero afectan a la librería de software de bajo nivel TCP/IP desarrollada por Treck. Si un atacante consigue aprovecharse del fallo, puede obtener control total de un dispositivo sin que haya ni siquiera interacción del usuario.
Ripple20: 19 vulnerabilidades, y 2 de ellas con un 10 de peligro
La empresa israelí que ha descubierto las vulnerabilidades, JSOF, afirma que los dispositivos afectados se encuentran en todas partes, incluyendo hogares, industrias, hospitales, centros de datos, transportes, centrales nucleares, petróleo, etc. Con ello, es posible robar datos de una impresora, hacer que falle una máquina, cambiar el flujo de una tubería para que explote, etc.
Así, un atacante puede entrar sin dejar ningún rastro. En total, hay cuatro vulnerabilidades críticas con puntuación CVSS de más de 9 (dos de ellas, CVE-2020-11896 y CVE-2020-11897 con un 10), y las cuales le permiten a un atacante ejecutar código arbitrario en dispositivos de manera remota. CVE-2020-11896 consiste en enviar paquetes modificados a través de IPv6, mientras que CVE-2020-11897 lo hace a través de IPv6. Las otras 15 vulnerabilidades tienen notas CVSS que van desde el 3,1 al 8,2, permitiendo desde un ataque DoS hasta ejecución de código remoto. En el siguiente vídeo se puede ver cómo usan una de las vulnerabilidades para apagar un SAI de manera remota.
Algunas vulnerabilidades ya han sido parcheadas por Treck y otros fabricantes a lo largo de los años debido a cambios en el código y en la configuración. Sin embargo, esto también entraña más problemas, ya que hay variantes de las vulnerabilidades que todavía no se han identificado, y no se van a identificar en el corto plazo. Los parches que se han lanzado actualmente están disponibles a partir de Treck 6.0.1.67 o superior.
Millones de dispositivos se quedarán sin parche
Los investigadores han contactado a los fabricantes afectados, entre los que encontramos a empresas como HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar o Baxter. La mayoría han reconocido las vulnerabilidades, y el resto están analizándolo todavía antes de comunicarlo al público. La revelación de estas vulnerabilidades ha sido retrasada dos veces por culpa del Covid-19, extendiendo el periodo de gracia de 90 a 120 días. No obstante, algunas empresas parecían más preocupadas por no ver dañada su imagen que por parchear las vulnerabilidades.
Como muchos dispositivos no van a recibir parches, los investigadores recomiendan minimizar la exposición a Internet de estos dispositivos, o directamente asegurarse de que no tienen conexión a Internet. Otra opción es aislarlos de la red principal de las empresa o del hogar, pudiendo usar por ejemplo una red WiFi de invitados para estos dispositivos. También recomiendan usar VPN.