0
0
A mais recente de uma longa linha de vulnerabilidades em uma parte importante da rede ameaça um grande sistema operacional de código aberto, impressoras e dispositivos médicos conectados (IoT).
Um conjunto de vulnerabilidades nas pilhas TCP/IP usadas pelo FreeBSD e três sistemas operacionais populares em tempo real projetados para a IoT (internet das coisas) foi revelado esta semana pelo fornecedor de segurança Forescout e JSOF Research. As nove vulnerabilidades podem afetar potencialmente 100 milhões de dispositivos.
Em um relatório sobre as vulnerabilidades, a Forescout escreve que as pilhas TCP/IP são particularmente vulneráveis por vários motivos, incluindo o uso generalizado, o fato de que muitas dessas pilhas foram criadas há muito tempo e o fato de serem uma superfície de ataque atraente, obrigado a funcionalidade e protocolos não autenticados que cruzam os perímetros da rede.
O Domain Name System sofre praticamente dos mesmos problemas, que podem ser explorados no caso das vulnerabilidades Name: Wreck.
“O DNS é um protocolo complexo que tende a gerar implementações vulneráveis e essas vulnerabilidades podem frequentemente ser aproveitadas por invasores externos para assumir o controle de milhões de dispositivos simultaneamente”, diz o relatório.
Nome: Wreck pode permitir ataques de negação de serviço e execução remota de código e é provavelmente causado por práticas de codificação inadequadas na análise de código de conteúdo de resposta DNS, de acordo com Eric Hanselman, analista de pesquisa principal da 451 Research. Essencialmente, um valor-chave no sistema usado para compactar as respostas DNS em pacotes menores e mais fáceis de mover não é validado pelo sistema e pode ser manipulado por um agente mal-intencionado.
“A dificuldade com os ataques DNS é que as respostas DNS podem conter uma quantidade significativa de informações”, afirma Hanselman. “Existem tantas opções de formato que não é incomum retornar um volume significativo de dados em uma resposta DNS, e se você não está rastreando consultas DNS e permite OpenDNS em seu ambiente, é muito difícil rastrear a resposta para garantir que tenho acompanhamento permanente. ”
O perigo real ao qual uma organização está exposta difere com base em quais pilhas vulneráveis ela está usando. A vulnerabilidade do FreeBSD é provavelmente mais disseminada – ela afeta milhões de redes de TI, incluindo Netflix e Yahoo, bem como dispositivos de rede tradicionais como firewalls e roteadores, de acordo com o relatório, mas é provavelmente mais fácil de consertar.
“Esses são sistemas gerenciáveis - devemos ser capazes de atualizá-los”, disse o analista sênior da Forrester, Brian Kime. “[E] eles devem ser priorizados para correção, porque fazem parte de sua pilha de rede.”
O mesmo não pode ser dito, em muitos casos, dos sistemas operacionais de tempo real afetados por Name: Wreck, uma vez que os problemas padrão que fazem a proteção de dispositivos IoT permanecerem em jogo aqui. A capacidade de corrigir e atualizar firmware ainda não é um recurso padrão, e os OEMs de dispositivos conectados – que podem ser bem antigos e podem não ter sido projetados para serem voltados para a Internet em primeiro lugar – podem até não estar mais operando .
Nos casos em que esses dispositivos IoT são vulneráveis, a segurança forte deve começar na camada de rede, de acordo com Hanselman. Monitorar a rede diretamente em busca de atividades anômalas – que, novamente, às vezes pode ser difícil de detectar no caso de uma vulnerabilidade TCP / IP – é um bom começo, mas o que é realmente necessário são técnicas como proteção de consulta DNS.
“Felizmente para a maioria das organizações, o monitoramento de DNS se tornou muito mais comum, porque o DNS é uma das melhores maneiras de fazer a detecção de ransomware”, afirma. “A maioria das organizações deve ter uma proteção razoável de consulta de DNS.”
O escopo ativo dessas vulnerabilidades é limitado por vários fatores, incluindo se os dispositivos afetados têm acesso direto à Internet – improvável no caso de muitos dos dispositivos médicos descritos – e até que ponto eles podem ser corrigidos. Além do mais, é importante notar que nenhum foi pensado para ter sido explorado na natureza até o momento. No entanto, um alvo importante a ser observado pode ser as impressoras.
As impressoras são altamente acessíveis, visto que são mais ou menos onipresentes e tendem a não chamar muita atenção de segurança, de acordo com Kime, e, uma vez comprometidas, podem oferecer um vetor através do qual outros dispositivos vulneráveis em uma rede possam ser acessados.
“Raramente as pessoas vão avaliá-los quanto a vulnerabilidades, então eles são explorados por agentes de ameaças”, disse ele. “Eu poderia ver malfeitores usando vulnerabilidades de IoT como persistência, uma vez que eles exploraram outra coisa para entrar no ambiente.”
Nome: Wreck está longe de ser o único conjunto de vulnerabilidades TCP / IP a mostrar sua cara feia na memória recente, é claro. Forescout e JSOF, entre eles, descobriram várias famílias deste tipo de falha de segurança no passado, incluindo Ripple20, Amnesia: 33 e Number: Jack apenas no ano passado, e os especialistas concordam que outras vulnerabilidades devem vir à luz para um futuro próximo. Por um lado, simplesmente não existem tantas pilhas de IP existentes, o que significa que muitas são usadas em uma grande variedade de aplicativos e que geralmente são consideradas seguras.
“É algo em que todos assumem que podem extrair a pilha de IP de qualquer distribuição [de software de código aberto] favorita, e isso deve ser bem reforçado”, ressalta Hanselman. “Na maior parte, isso é verdade, mas as pilhas de rede estão lidando com gerenciamento de estado bastante complexo e pode haver maneiras inesperadas de manipulá-los.” Com informações de agências internacionais.
FONTE: IP NEWS