Vulnerabilidades de WRECK afectan a casi 100 millones de dispositivos IoT

Investigadores de seguridad han descubierto nueve vulnerabilidades que afectan a cuatro pilas de TCP / IP que afectan a más de 100 millones de dispositivos de consumidores y empresas que podrían ser explotados por un atacante para tomar el control de un sistema vulnerable. Apodado ” NAME: WRECK ” por Forescout y JSOF, los defectos son los […]

Investigadores de seguridad han descubierto nueve vulnerabilidades que afectan a cuatro pilas de TCP / IP que afectan a más de 100 millones de dispositivos de consumidores y empresas que podrían ser explotados por un atacante para tomar el control de un sistema vulnerable.

Apodado ” NAME: WRECK ” por Forescout y JSOF, los defectos son los últimos en una serie de estudios realizados como parte de una iniciativa llamada Project Memoria para estudiar la seguridad de las pilas TCP / IP ampliamente utilizadas que son incorporadas por varios proveedores en su firmware. para ofrecer funciones de conectividad de red e internet.

“Estas vulnerabilidades se relacionan con las implementaciones del Sistema de nombres de dominio (DNS), que causan denegación de servicio (DoS) o Ejecución remota de código (RCE), lo que permite a los atacantes desconectar los dispositivos de destino o tomar el control de ellos”, dijeron los investigadores.

El nombre proviene del hecho de que el análisis de los nombres de dominio puede romper (es decir, “arruinar”) las implementaciones de DNS en las pilas de TCP / IP, lo que se suma a un aumento reciente en vulnerabilidades como SigRed , SAD DNS y DNSpooq que aprovechan la “guía telefónica de Internet “como vector de ataque.

También marcan la quinta vez que se identifican debilidades de seguridad en las pilas de protocolos que sustentan millones de dispositivos conectados a Internet.

• URGENTE / 11
• Ondulación20
• AMNESIA: 33 , y
• NÚMERO: JACK

Específicamente, la última investigación ofrece una mirada más cercana al esquema de ” compresión de mensajes ” utilizado en el protocolo DNS que “elimina la repetición de nombres de dominio en un mensaje” con la intención de reducir el tamaño de los mensajes, descubriendo múltiples fallas en FreeBSD (12.1 ), Pilas de IPnet (VxWorks 6.6), Nucleus NET (4.3) y NetX (6.0.1).

En un escenario de ataque plausible en el mundo real, los adversarios pueden explotar estas fallas para encontrar su camino hacia la red de una organización a través de un dispositivo conectado a Internet que emite solicitudes de DNS a un servidor y exfiltra información confidencial, o incluso las usa como un trampolín para el sabotaje. equipo crítico.

Con la excepción de IPnet, FreeBSD , Nucleus NET y NetX han lanzado parches, lo que requiere que los proveedores de dispositivos que utilizan versiones vulnerables del software envíen un firmware actualizado a sus clientes.

Pero al igual que con las fallas anteriores, existen varios obstáculos para aplicar las correcciones, con la falta de información sobre la pila de TCP / IP que se ejecuta en un dispositivo, la dificultad para entregar parches porque los dispositivos no se administran de manera centralizada o no pueden desconectarse debido a su papel central en procesos de misión crítica como los sistemas de control industrial y sanitario.

En otras palabras, además del esfuerzo requerido para identificar todos los dispositivos vulnerables, podría tomar una cantidad considerable de tiempo antes de que los parches de seguridad se filtren desde el proveedor de la pila hasta el firmware del dispositivo.

Peor aún, en algunos casos, es posible que nunca sea factible implementar un parche, como resultado de lo cual muchos de los dispositivos afectados probablemente permanecerán expuestos a ataques durante los próximos años o hasta que sean retirados del servicio.

Si bien es posible que no haya una solución rápida a la vista, el punto positivo de los hallazgos es que existen mitigaciones que facilitan la detección de intentos de aprovechar estas fallas. Para empezar, Forescout ha lanzado un script de código abierto para detectar dispositivos que ejecutan las pilas afectadas. Además, los investigadores también recomiendan hacer cumplir los controles de segmentación de la red hasta que los parches estén en su lugar y monitorear todo el tráfico de la red en busca de paquetes maliciosos que intenten explotar fallas dirigidas a clientes DNS, mDNS y DHCP.