Las fallas de DNS exponen millones de dispositivos de IoT a amenazas de piratas informáticos | Internet de las Cosas


Por John P. Mello Jr.

14 de abril de 2021 4:00 a. M. (Hora del Pacífico)

Investigadores de seguridad revelaron el lunes un conjunto de fallas en un protocolo de comunicación de red ampliamente utilizado que podría afectar a millones de dispositivos.

Las nueve vulnerabilidades descubiertas por Laboratorios de investigación Forescout y Investigación JSOF Aumentar drásticamente la superficie de ataque de al menos 100 millones de dispositivos de Internet de las cosas, exponiéndolos a posibles ataques que podrían desconectarlos o ser secuestrados por los actores de amenazas

“La historia ha demostrado que controlar los dispositivos de IoT puede ser una táctica eficaz para lanzar ataques DDoS”, dijo Rohit Dhamankar, vicepresidente de productos de inteligencia de amenazas en Lógica de alerta, una empresa de seguridad de aplicaciones e infraestructura en Houston.

“A medida que los dispositivos de IoT se enriquecen en funcionalidad, es posible que estén bajo el control de un atacante, al igual que los servidores o los escritorios, y pueden explotarse aún más para convertirse en cabezas de playa en las infracciones empresariales”, dijo a TechNewsWorld.

Llamada Nombre: Wreck, el conjunto de vulnerabilidades afecta a cuatro pilas populares de TCP / IP: FreeBSD, Nucleus NET, IPnet y NetX.

Los investigadores explicaron en un blog que Nucleus NET es parte de Nucleus RTOS, un sistema operativo en tiempo real utilizado por más de tres mil millones de dispositivos, incluidas máquinas de ultrasonido, sistemas de almacenamiento, sistemas críticos para aviónica y otros.

FreeBSD, señalaron los investigadores, es ampliamente utilizado por servidores de alto rendimiento en millones de redes de TI y también es la base para otros proyectos de código abierto bien conocidos, como firewalls y varios dispositivos de red comerciales.

Agregaron que NetX generalmente es ejecutado por ThreadX RTOS, que tuvo 6.2 mil millones de implementaciones en 2017 y se puede encontrar en dispositivos médicos, sistemas en un chip y varios modelos de impresoras.

“Las organizaciones de los sectores de la salud y el gobierno se encuentran entre las tres más afectadas en las tres categorías”, escribieron los investigadores. “Si asumimos de manera conservadora que el uno por ciento de las más de 10 mil millones de implementaciones discutidas anteriormente son vulnerables, podemos estimar que al menos 100 millones de dispositivos se ven afectados por Name: Wreck”.

Vector de ataque poderoso

Los expertos en seguridad le dijeron a TechNewsWorld que los ataques TCP / IP pueden ser particularmente poderosos.

“TCP / IP es el software que realmente hace toda la comunicación desde el dispositivo a otros sistemas”, explicó Gary Kinghorn, director de marketing de Redes templadas, una empresa de microsegmentación en Seattle.

“Si se trata de un ataque basado en la red, en lugar de insertar una memoria USB en un puerto USB, debe pasar por TCP / IP”, dijo. “Corromper el software TCP / IP para permitir vulnerabilidades o explotar errores en el diseño es la base de la mayoría de los ataques”.

Los ataques a la pila de TCP / IP también pueden eludir algunas protecciones de seguridad elementales.

“Cada vez que tiene un ataque a TCP / IP y no necesita un nombre de usuario o contraseña, es más fácil ejecutar el ataque”, observó Dhamankar.

“Las vulnerabilidades de TCP / IP son poderosas porque se pueden explotar de forma remota a través de Internet o en una intranet sin tener que subvertir otros mecanismos de seguridad como la autenticación”, agregó Bob Baxley, director de tecnología de Redes de la Bastilla, de San Francisco, un proveedor de detección de amenazas y seguridad para Internet de las cosas.

Además, una vez que un dispositivo se ve comprometido, puede haber una bonificación para un atacante de TCP / IP. “En la mayoría de los casos, el código de las pilas de TCP / IP se ejecuta con altos privilegios, por lo que cualquier vulnerabilidad de ejecución de código permitiría a un atacante obtener privilegios significativos en el dispositivo”, dijo Asaf Karas, cofundador y CTO de Vdoo, un proveedor de automatización de seguridad para dispositivos integrados en Tel Aviv, Israel.

Problemas de parcheo

Aunque algunas de las vulnerabilidades expuestas por los investigadores pueden solucionarse, el proceso puede resultar problemático.

Baxley señaló que se han lanzado parches para FreeBSD, Nucleus NET y NetX.

“Para los dispositivos finales que usan esas pilas, la aplicación de parches es teóricamente posible”, dijo. “Pero, en la práctica, muchos de los sistemas vulnerables son dispositivos de IoT que ejecutan sistemas operativos en tiempo real que no están en un programa de parches normal y es poco probable que reciban un parche”.

“Los dispositivos de IoT generalmente se manejan con un enfoque de ‘implementar y olvidar’ y, a menudo, solo se reemplazan después de que fallan o alcanzan el final de su capacidad de servicio”, agregó Jean-Philippe Taggart, investigador senior de seguridad en Malwarebytes.

“Ese no es un enfoque muy eficaz”, dijo a TechNewsWorld.

La edad puede ser otro problema para los dispositivos de IoT. “Estos sistemas se pueden parchear, pero generalmente son implementaciones muy antiguas que pueden usarse para escenarios para los que no fueron previstos”, observó Kinghorn.

“Son vulnerables debido a su gran complejidad e incapacidad para identificar fácilmente los riesgos”, continuó. “Es más frecuente que los piratas informáticos puedan explotarlos antes de que se les aplique un parche”.

“Siempre ha sido muy difícil parchear las vulnerabilidades de IoT”, agregó Dhamankar. “Ya es bastante difícil parchear las vulnerabilidades del servidor y del escritorio”.

Tácticas de defensa

Incluso sin parches, hay formas de proteger una red de los explotadores de las vulnerabilidades encontradas por los investigadores de Forescout y JSOF.

Baxley explicó que para explotar las vulnerabilidades de Name: Wreck, un atacante tiene que responder a una solicitud de DNS del dispositivo objetivo con un paquete falsificado que tiene la carga útil maliciosa. Para lograr esto, un atacante necesitará acceso de red al dispositivo de destino.

“Mantener los dispositivos, especialmente los dispositivos de IoT, segmentados de Internet y las redes internas centrales es un mecanismo para mitigar el riesgo de exposición”, dijo.

Monitorear el DNS también puede ayudar a defenderse contra Name: Wreck. “Monitorear la actividad del DNS en el entorno y marcar cualquier actividad del servidor DNS externo es un buen paso”, observó Dhamankar.

“En general”, agregó, “el DNS es una excelente fuente para monitorear los compromisos con los análisis de seguridad”.

La gestión de acceso reforzada también puede frustrar a los atacantes. “Si el sistema en sí no se puede parchear, y este puede ser el caso de los sistemas de control industrial antiguos u otros dispositivos de red OT y puntos finales de IoT, es importante asegurarse de que la red solo permita tráfico seguro y confiable a estos dispositivos”, Kinghorn explicado.

“Aquí es donde los diseños de Zero Trust pueden ayudar, asegurando que solo los dispositivos autorizados puedan acceder a estos sistemas vulnerables”, continuó. “También puede ayudar a monitorear y analizar continuamente el tráfico a esos dispositivos para garantizar que no llegue tráfico potencialmente malicioso o sospechoso”.

“IoT en su conjunto es un punto de acceso para la seguridad”, agregó Chris Morales, CISO de Netenrich, un proveedor de servicios de centro de operaciones de seguridad en San José, California.

“Las contraseñas débiles y las cuentas de usuario codificadas, la falta de parches y los componentes obsoletos, estas últimas vulnerabilidades son más para la pila de inseguridad que es IoT”, dijo a TechNewsWorld.


Jack M. Germain ha sido reportero de ECT News Network desde 2003. Sus principales áreas de enfoque son TI empresarial, Linux y tecnologías de código abierto. Es un crítico estimado de distribuciones de Linux y otro software de código abierto. Además, Jack cubre ampliamente la tecnología empresarial y los problemas de privacidad, así como los desarrollos en el comercio electrónico y la electrónica de consumo. Envíe un correo electrónico a Jack.

.



Source link