NOMBRE:VULNERABILIDADES DE DESTRUCCIÓN EN 100 MILLONES DE DISPOSITIVOS

22.04.2021

NOMBRE:VULNERABILIDADES DE DESTRUCCIÓN EN 100 MILLONES DE DISPOSITIVOS

Las vulnerabilidades en las pilas TCP/IP ponen en riesgo dispositivos IoT, como impresoras o dispositivos médicos. Las empresas alemanas también están en riesgo.

¿Qué ha pasado?

Nueve vulnerabilidades de gravedad media a crítica fueron descubiertas en un software ampliamente utilizado por investigadores de seguridad de JSOF yForescout Research Labs . Las vulnerabilidades identificadas se denominan «NOMBRE:NAUFRAGIO». Los sistemas operativos «FreeBSD», «IPNet», «Nucleus NET» (Siemens) y «NetX» se ven afectados. Estos se usan comúnmente en dos tipos de dispositivos:

Aquellos que utilizan tecnología para controlar y monitorizar máquinas físicas y equipos industriales (tecnología operativa).
Dispositivos que pueden enviar y recibir datos a través de Internet (Internet de las Cosas).
Estos pueden incluir ordenadores, impresoras, relojes inteligentes y dispositivos de red, así como automatización de edificios, ingeniería industrial, VoIP, dispositivos médicos, sistemas en chip, dispositivos energéticos y de energía en sistemas de control industrial.

El uso generalizado del software y la posibilidad de acceso a través de Internet provocaron un aumento significativo de la superficie de ataque. Se estima que alrededor de 100 millones de dispositivos se ven afectados. Según el informe de Forescout , Alemania está entre los 5 países con dispositivos expuestos identificados donde se utilizan Nucleus NET y FreeBSD. El sector sanitario y las áreas con procesos industriales de fabricación están especialmente en riesgo.

¿Cuáles son los riesgos para mi empresa al explotar NAME:WRECK?

Si los atacantes logran explotar con éxito las vulnerabilidades, existe la posibilidad de que los dispositivos objetivo queden fuera de servicio. En el peor de los casos, el atacante puede tomar el control de los dispositivos – sin autorización ni percibido por el usuario.

Más información sobre la amenaza de NAME:NAUFRAGIO

Las vulnerabilidades afectan a las implementaciones DHCP y DNS de las pilas TCP/IP de los cuatro sistemas operativos mencionados. El modelo TCP/IP te ayuda a determinar cómo debe conectarse un sistema concreto a Internet y cómo deben transmitirse los datos.

FreeBSD

Como señalan los investigadores en su informe, FreeBSD es ampliamente conocido por ser utilizado en millones de redes informáticas para servidores de alto rendimiento, incluyendo sitios web importantes como Netflix y Yahoo. Los tipos de dispositivos más comunes en la Nube de Dispositivos que ejecutan FreeBSD incluyen ordenadores, impresoras y dispositivos de red.

Nucleus NET

Nucleus NET, a su vez, se utiliza en numerosos dispositivos IoT y OT. Los tipos de dispositivos más comunes bajo Nucleus son automatización de edificios, ingeniería de operaciones y VoIP.

NetX

NetX suele operarse con el ThreadX RTOS. Las aplicaciones típicas incluyen dispositivos médicos, sistemas en chip y varios modelos de impresoras. Algunos de los tipos de dispositivos más comunes que ejecutan ThreadX incluyen impresoras, relojes inteligentes y dispositivos de energía y alimentación en sistemas de control industrial.

Se espera que estos dispositivos y las industrias asociadas sean los más vulnerables. NOMBRE: NAUFRAGIO parece ser una amenaza mayor para las grandes organizaciones.

Afortunadamente, no todas las versiones son vulnerables a lo que los investigadores llaman la amenaza NAME:NAUFRAGIO.

Puedes encontrar más información sobre el tema en el informe de Forescout .

¿Qué puedo hacer?

Primero, comprueba si tu empresa utiliza el software/firmware mencionado anteriormente. Si la empresa utiliza un dispositivo médico específico o un sistema de automatización del edificio, se recomienda revisar las especificaciones de ese dispositivo y contactar con el proveedor de equipos si tienes dudas.
Comprueba si tu versión está afectada. Las nueve vulnerabilidades identificadas por los investigadores pueden encontrarse en la página 7 del informe de Forescout. Por ejemplo, para identificar tu versión de FreeBSD, sigue las instrucciones.
Si el software es detectado en alguno de tus dispositivos, debe actualizarse a la última versión. Todos los proveedores de las pilas TCP/IP vulnerables identificadas en el informe han sido notificados de estas vulnerabilidades y las han parcheado en consecuencia.
Los remedios generalmente recomendados para NAME:WRECK incluyen limitar la exposición de la red a dispositivos críticos vulnerables mediante la segmentación de red,
Usa servidores DNS internos.
Los fabricantes de dispositivos que utilizan este software deberían proporcionar a sus propios clientes sus propias actualizaciones. Es importante recordar que la protección total contra NAME:WRECK requiere parchear los dispositivos que ejecutan las versiones vulnerables de las pilas TCP/IP.
Si no es posible parchear para ti o tienes alguna pregunta, siempre puedes contactar con Perseus como cliente de nuestra asistencia de emergencia.