Vulnerabilidade antiga de segurança deixou milhões de dispositivos de IoT expostos a ataques

‘A história está se repetindo’, alertam os pesquisadores de segurança, que descobriram que um problema de segurança de computador conhecido há décadas pode ser usado para manipular dispositivos IoT – portanto, aplique os patches agora.

Vulnerabilidades nos protocolos de comunicação usados por milhões de dispositivos de Internet das Coisas (IoT) e de tecnologia operacional (OT) podem permitir que invasores cibernéticos interceptem e manipulem dados.

As vulnerabilidades em algumas pilhas TCP / IP foram detalhadas por pesquisadores de segurança cibernética da Forescout, que apelidaram o conjunto de nove novas vulnerabilidades de ‘Número: Jack’.

É uma pesquisa em andamento pela empresa de segurança cibernética como parte do Projeto Memória, uma iniciativa que examina vulnerabilidades em pilhas TCP / IP e como mitigá-las.

As últimas divulgações são baseadas em um aspecto fundamental da comunicação TCP em dispositivos embarcados: geração do Número de Sequência Inicial (ISN). Esses ISNs são projetados para garantir que cada TCP entre dois computadores ou outros dispositivos conectados à Internet seja único e que terceiros não possam interferir ou manipular as conexões.

Para garantir isso, os ISNs precisam ser gerados aleatoriamente para que um invasor não possa adivinhá-los, sequestrá-los ou falsificá-los. É um fundamento de segurança de computador que já era conhecido nos anos 90 – mas quando se trata de segurança de dispositivos IoT, os pesquisadores descobriram que essa vulnerabilidade antiga estava presente porque os números não eram completamente aleatórios, então o padrão dos números ISN nessas comunicações TCP poderia ser previsto.

“Essas coisas foram corrigidas principalmente no Windows e Linux e no mundo típico de TI. Mas quando você olha para o mundo de IoT, essas coisas estão acontecendo novamente”, disse Daniel dos Santos, gerente de pesquisa da Forescout à ZDNet.

“Não é difícil para nós ou para um invasor encontrar esse tipo de vulnerabilidade porque você pode ver claramente como os números são gerados pela pilha são previsiveis”, acrescentou.

Ao prever uma conexão TCP existente, os invasores podem fechá-la, essencialmente causando um ataque de negação de serviço, evitando que os dados sejam transferidos entre os dispositivos. Como alternativa, eles podem sequestrá-lo e injetar seus próprios dados na sessão, por meio do qual é possível interceptar o tráfego não criptografado, adicionar downloads de arquivos para servir malware ou usar respostas HTTP para direcionar a vítima a um site malicioso. Também é possível que os invasores abusem das conexões TCP dos dispositivos incorporados para contornar os protocolos de autenticação, que potencialmente fornecem aos invasores acesso adicional às redes.

Todas as vulnerabilidades foram descobertas e divulgadas aos fornecedores e mantenedores relevantes das pilhas TCP / IP afetadas em outubro de 2020.

As pilhas TCP / IP que contêm as vulnerabilidades incluem vários códigos abertos analisadas no estudo anterior do Forescout, incluindo uIP, FNET, picoTCP, Nut / Net, cycloneTCP e uC / TCP-IP. Vulnerabilidades também foram descobertas no Nucleus NET da Siemens, no NDKTCPIP da Texas Instruments e no MPLAB Net da Microchip.

A maioria dos fornecedores aplicou patches para proteger os dispositivos contra as vulnerabilidades ou está em processo de fazê-lo, embora os pesquisadores observem que nenhum deles respondeu à divulgação. A ZDNet tentou entrar em contato com cada um dos fornecedores detalhados no documento de pesquisa para obter uma resposta.

O Forescout não identificou publicamente os dispositivos exatos que dependem das nove pilhas que apresentam vulnerabilidades para evitar que se tornem vítimas potenciais de ataques. No entanto, eles observam que os sistemas, incluindo dispositivos médicos, sistemas de monitoramento de turbinas eólicas e sistemas de armazenamento, são todos dependentes de sistemas conhecidos por usarem as pilhas examinadas.

Para ajudar na proteção contra ataques, o Forescout Research Labs lançou um script de código aberto para ajudar a identificar as pilhas descobertas com vulnerabilidades como parte do Projeto Memoria.

Recomenda-se que, se essas vulnerabilidades forem descobertas na rede, os patches de segurança sejam aplicados para evitar que invasores se aproveitem. Também é sugerido que, quando não for possível corrigir dispositivos IoT ou OT, os produtos afetados sejam segmentados em parte da rede que reduzirá a probabilidade de comprometimento.

A pesquisa também serve como um lembrete de que, quando se trata de segurança de dispositivos IoT, há lições de segurança a serem aprendidas com a segurança de TI que devem ser aplicadas – especialmente quando se trata de fundamentos que são conhecidos há décadas.

“As bases da IoT são vulneráveis e não apenas para um fornecedor ou dispositivo específico – é através de vários tipos de dispositivos e componentes de software usados nesses dispositivos. Muitas vezes eles compartilham tipos semelhantes de vulnerabilidades,” disse dos Santos.

“O motivo pelo qual examinamos as pilhas de TCP é para mostrar que a história está se repetindo em várias pilhas. Isso fornece prova de que as pessoas deveriam observar o que aconteceu antes e como isso afeta suas operações – em toda a cadeia de suprimentos da IoT”, ele adicionou.

<div role="main" id="formulario_blog_-367e2d278de85147302a"></div>
<script type="text/javascript" src="https://d335luupugsy2.cloudfront.net/js/rdstation-forms/stable/rdstation-forms.min.js"></script>
<script type="text/javascript"> new RDStationForms('formulario_blog_-367e2d278de85147302a', 'UA-75841779-1').createForm();</script>

Sobre o autor: Seal

Deixe um comentário Cancelar resposta

Categorias

Posts Recentes