Ripple20:Vulnerabilidades críticas podem estar colocando seus dispositivos IoT / OT em risco

Os pesquisadores de segurança cibernética da JSOF acabam de publicar um conjunto de 19 vulnerabilidades, apelidadas de Ripple20, que estão afetando a pilha TCP / IP desenvolvida por Treck. Essa pilha de software é integrada a milhões de sistemas usados ​​nos mercados de saúde, transporte, manufatura, telecomunicações e energia, afetando potencialmente um grande número de organizações e setores críticos.

As vulnerabilidades são semelhantes às vulnerabilidades Urgent / 11 publicadas em 2019 e impactam a pilha TCP / IP desenvolvida pela Interpeak. Como Urgent / 11, as vulnerabilidades Ripple20 permitem que os invasores acionem a execução remota de código e negação de serviço (DoS). Muitos fornecedores, como HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter e outros já confirmaram o impacto do Ripple20.

As soluções Cisco IoT projetadas para ambientes industriais não são afetadas pelo Ripple20. Na verdade, produtos como Cisco Cyber ​​Vision e Cisco Industrial Security Appliance ISA3000, juntamente com assinaturas Snort da Cisco Talos, ajudarão a identificar vulnerabilidades Ripple20 em sua rede e corrigir riscos. Alguns produtos Cisco são vulneráveis ​​e você pode ler o comunicado oficial da Cisco aqui.

A Treck foi fundada em 1997 e desenvolve pilhas de protocolos para sistemas embarcados em tempo real. É usado por muitos fornecedores de equipamentos, pois este software oferece desempenho otimizado para dispositivos IoT que normalmente têm memória limitada ou capacidade de processamento, por exemplo. É vendido na forma de um código-fonte, tornando mais fácil para os fornecedores integrar apenas as camadas de protocolo desejadas e modificá-las para aplicativos específicos.

Como resultado, dependendo de como os fabricantes se especializaram e integraram essas bibliotecas, elas podem se tornar virtualmente não identificáveis. Além disso, conforme os fabricantes foram adquiridos, alguns podem ter perdido o controle desse componente de software, tornando bastante difícil - senão impossível - identificar os produtos afetados.

Outro fato importante é a colaboração anterior entre Treck e a empresa japonesa Elmic System (hoje Zuken Elmic). Essa colaboração resultou em duas pilhas TCP / IP semelhantes mantidas de forma independente por cada editor e vendidas em regiões diferentes, uma no mercado dos Estados Unidos e outra nos mercados asiáticos. Várias vulnerabilidades Ripple20 também afetam a pilha TCP / IP mantida por Zuken Elmic.

Aborde Ripple20 rapidamente!

Ripple20 consiste em uma série de 19 vulnerabilidades. Quatro deles são críticos com pontuações acima de 9 na escala de gravidade CVSS. Eles devem ser resolvidos rapidamente, pois podem ser explorados para execução remota de código arbitrário, ataques de negação de serviço e divulgação de informações.

CVE-2020-11901 é provavelmente a vulnerabilidade mais grave. Ele pode ser acionado respondendo a uma solicitação DNS do dispositivo e pode resultar na execução remota de código. Como as solicitações de DNS geralmente saem da rede, elas podem ser facilmente interceptadas para permitir que um invasor entre. Além disso, o pacote enviado para explorar essa vulnerabilidade será compatível com vários RFCs, tornando difícil para um firewall detectar o ataque.

Este é apenas um exemplo. A lista completa de vulnerabilidades Ripple20 e suas descrições podem ser encontradas no site JSOF aqui.

Detectando Ripple20 em suas redes IoT / OT

O JSOF estima que vários bilhões de dispositivos podem ser afetados pelas vulnerabilidades do Ripple20, já que muitos fornecedores integraram toda ou parte da pilha do protocolo Treck TCP / IP nos sistemas que desenvolvem. Uma lista dos fornecedores afetados foi estabelecida pelo CISA ICS-CERT e pode ser encontrada aqui.

Embora os detalhes e a lista de fornecedores afetados continuem a surgir, existem algumas etapas que podem ser executadas para ajudar a identificar e proteger contra essas vulnerabilidades.

Como os fornecedores estão publicando avisos de segurança para identificar quais de seus produtos são afetados, a Cisco continuará a atualizar a base de conhecimento do Cyber ​​Vision para que possa detectar seus ativos afetados. Cisco Cyber ​​Vision é uma solução projetada especificamente para detectar ataques contra dispositivos IoT / OT. Ele descobre automaticamente os menores detalhes de suas redes industriais e constrói um inventário de ativos abrangente destacando vulnerabilidades conhecidas, como Ripple20.

A base de conhecimento da Cyber ​​Vision é atualizada com frequência e está disponível gratuitamente para todos os clientes da Cyber ​​Vision. Se ainda não o fez, recomendamos que instale a versão mais recente hoje, baixando-a aqui.

Devido à natureza das vulnerabilidades Ripple20 e aos tipos de dispositivos afetados, você pode não ser capaz de corrigir ativos vulneráveis ​​- ou você pode nunca saber que alguns ativos são vulneráveis. Para mantê-lo protegido, existem algumas medidas alternativas que podem ser tomadas.

Como se proteger imediatamente

No curto prazo, você pode aproveitar seus sistemas de detecção de intrusão (IDS) para detectar e alertar as tentativas de explorar essas vulnerabilidades. O Cisco Cyber ​​Vision pode ser configurado com o mecanismo SNORT IDS, aproveitando as regras desenvolvidas pela Cisco Talos. O Cisco Industrial Security Appliance ISA3000 oferece o mesmo IDS, além da capacidade de bloquear esses comportamentos e muito mais, tudo em um formato robusto que pode ser implantado junto com os dispositivos industriais que ele está protegendo.

O ISA3000 também é ideal para segmentar suas redes industriais e isolar ativos que não precisam se comunicar. Isso garantirá que um possível ataque seja contido e não se espalhe por toda a rede.

O JSOF forneceu muitas outras recomendações de correção que você também pode implementar com o ISA3000. Isso inclui a capacidade de bloquear fragmentos de IP, bloquear IP em encapsulamento de IP, rejeitar pacotes TCP malformados, bloquear mensagens ICMP não utilizadas, restringir o tráfego DHCP e restringir comunicações e protocolos inesperados e não necessários no ambiente.

Para saber mais sobre como a Cisco pode ajudá-lo a proteger sua rede industrial, visite o hub IoT Security ou entre em contato conosco para discutir seus desafios de segurança industrial IoT.