Ripple20: Vulnerabilidades críticas podem colocar seus dispositivos de IoT / OT em risco

Ripple20: Vulnerabilidades críticas podem colocar seus dispositivos de IoT / OT em risco

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


Pesquisadores de segurança cibernética da JSOF acabam de publicar um conjunto de 19 vulnerabilidades, apelidadas de Ripple20, que estão impactando a pilha TCP / IP desenvolvida pela Treck. Essa pilha de software é integrada a milhões de sistemas usados ​​nos mercados de assistência médica, transporte, manufatura, telecomunicações e energia, afetando potencialmente um número muito grande de organizações e setores críticos.

As vulnerabilidades são semelhantes às do Urgent / 11 publicadas em 2019 e impactam a pilha TCP / IP desenvolvida pela Interpeak. Como o Urgent / 11, as vulnerabilidades do Ripple20 permitem que os atacantes acionem a execução remota de código e a negação de serviço (DoS). Muitos fornecedores como HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter e outros já confirmaram o impacto do Ripple20.

As soluções Cisco IoT projetadas para ambientes industriais não são afetadas pelo Ripple20. De fato, produtos como o Cisco Cyber ​​Vision e o Cisco Industrial Security Appliance ISA3000, juntamente com as assinaturas Snort do Cisco Talos, ajudarão a identificar as vulnerabilidades do Ripple20 em sua rede e a remediar os riscos. Alguns produtos da Cisco são vulneráveis ​​e você pode ler o comunicado oficial da Cisco aqui.

A Treck foi fundada em 1997 e desenvolve pilhas de protocolos para sistemas embarcados em tempo real. É usado por muitos fornecedores de equipamentos, pois esse software oferece desempenho otimizado para dispositivos de IoT que normalmente possuem memória ou capacidade de processamento limitada, por exemplo. Ele é vendido na forma de um código-fonte, facilitando aos fornecedores a integração apenas das camadas de protocolo desejadas e a modificação para aplicações específicas.

Como resultado, dependendo de como os fabricantes se especializaram e integraram essas bibliotecas, eles podem se tornar praticamente não identificáveis. Além disso, à medida que os fabricantes foram adquiridos, alguns podem ter perdido o controle desse componente de software, tornando bastante difícil – se não impossível – identificar os produtos afetados.

Leia Também  Axway faz parceria com JASSTek para alavancar MFT

Outro fato importante é a colaboração passada entre Treck e a empresa japonesa Elmic System (hoje Zuken Elmic). Essa colaboração resultou em duas pilhas TCP / IP semelhantes, mantidas de forma independente por cada editor e vendidas em diferentes regiões, uma no mercado dos EUA e outra nos mercados asiáticos. Várias vulnerabilidades do Ripple20 também afetam a pilha TCP / IP mantida pela Zuken Elmic.

O Ripple20 consiste em uma série de 19 vulnerabilidades. Quatro deles são críticos com pontuações acima de 9 na escala de gravidade CVSS. Eles devem ser resolvidos rapidamente, pois podem ser explorados para execução remota de código arbitrária, ataques de negação de serviço e divulgação de informações.

CVE-2020-11901 é provavelmente a vulnerabilidade mais grave. Pode ser acionado respondendo a uma solicitação DNS do dispositivo e pode resultar na execução remota de código. Como as solicitações de DNS geralmente saem da rede, elas podem ser facilmente interceptadas para permitir a entrada de um invasor. Além disso, o pacote enviado para explorar essa vulnerabilidade estará em conformidade com várias RFCs, dificultando a detecção de um ataque por um firewall.

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

Este é apenas um exemplo. A lista completa das vulnerabilidades do Ripple20 e suas descrições podem ser encontradas no site da JSOF aqui.

A JSOF estima que vários bilhões de dispositivos possam ser afetados pelas vulnerabilidades do Ripple20, pois muitos fornecedores integraram a totalidade ou parte da pilha de protocolos Treck TCP / IP nos sistemas que desenvolvem. Uma lista de fornecedores impactados foi estabelecida pelo CISA ICS-CERT e pode ser encontrada aqui.

Embora os detalhes e a lista de fornecedores afetados continuem surgindo, existem algumas etapas que podem ser tomadas para ajudar a identificar e proteger contra essas vulnerabilidades.

Leia Também  Vacas, uma pandemia e uma doação: como a Cisco ajudou a impulsionar a continuidade da força de trabalho para os Dairy Farmers of America

À medida que os fornecedores publicam avisos de segurança para identificar quais de seus produtos são afetados, a Cisco continuará atualizando a base de conhecimentos do Cyber ​​Vision para identificar os ativos afetados. O Cisco Cyber ​​Vision é uma solução projetada especificamente para detectar ataques contra dispositivos IoT / OT. Ele descobre automaticamente os menores detalhes de suas redes industriais e cria um inventário abrangente de ativos destacando vulnerabilidades conhecidas, como o Ripple20.

A base de conhecimento da Cyber ​​Vision é atualizada com freqüência e está disponível gratuitamente para todos os clientes da Cyber ​​Vision. Se ainda não o fez, recomendamos que você instale a versão mais recente hoje fazendo o download aqui.

Devido à natureza das vulnerabilidades do Ripple20 e aos tipos de dispositivos afetados, talvez você não consiga corrigir ativos vulneráveis ​​- ou talvez nunca saiba que alguns ativos são vulneráveis. Para mantê-lo protegido, existem algumas medidas alternativas que podem ser tomadas.

A curto prazo, você pode alavancar seus sistemas de detecção de intrusões (IDS) para detectar e alertar tentativas de explorar essas vulnerabilidades. O Cisco Cyber ​​Vision pode ser configurado com o mecanismo SNORT IDS, aproveitando as regras desenvolvidas pelo Cisco Talos. O Cisco Industrial Security Appliance ISA3000 oferece o mesmo IDS, além da capacidade de bloquear esses comportamentos e muito mais, tudo isso em um formato robusto que pode ser implantado ao lado dos dispositivos industriais que está protegendo.

O ISA3000 também é ideal para segmentar suas redes industriais e isolar ativos que não precisam se comunicar. Isso garantirá que um ataque em potencial possa ser contido e não se espalhe por toda a rede.

O JSOF forneceu muitas outras recomendações de correção que você também pode implementar com o ISA3000. Isso inclui a capacidade de bloquear fragmentos de IP, bloquear o IP no encapsulamento de IP, rejeitar pacotes TCP malformados, bloquear mensagens ICMP não utilizadas, restringir o tráfego DHCP e restringir comunicações e protocolos inesperados e não necessários no ambiente.

Leia Também  Como as videochamadas enriquecem a experiência em telessaúde

Para saber mais sobre como a Cisco pode ajudá-lo a proteger sua rede industrial, visite o hub IoT Security ou entre em contato conosco para discutir seus desafios de segurança industrial IoT.

Compartilhar:

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br