Las fallas de DNS exponen millones de dispositivos de IoT a amenazas de piratas informáticos

 Millones de dispositivos IoT en riesgo debido a NAME: WRECK DNS bugs

Investigadores de seguridad revelaron el lunes un conjunto de fallas en un protocolo de comunicación de red ampliamente utilizado que podría afectar a millones de dispositivos.

Las nueve vulnerabilidades descubiertas por Forescout Research Labs y JSOF Research aumentan drásticamente la superficie de ataque de al menos 100 millones de dispositivos de Internet de las cosas, exponiéndolos a posibles ataques que podrían desconectarlos o ser secuestrados por amenazas

"La historia ha demostrado que controlar los dispositivos de IoT puede ser una táctica eficaz para lanzar ataques DDoS", dijo Rohit Dhamankar, vicepresidente de productos de inteligencia de amenazas en Alert Logic una empresa de seguridad de aplicaciones e infraestructura en Houston.

"A medida que los dispositivos de IoT se enriquecen en funcionalidad, es posible que estén bajo el control de un atacante, al igual que los servidores o los equipos de escritorio, y pueden ser

Llamado Nombre: Wreck el conjunto de vulnerabilidades afecta a cuatro pilas populares de TCP / IP: FreeBSD, Nucleus NET, IPnet y NetX. [19659003] Los investigadores explicaron en un blog que Nucleus NET es parte de Nucleus RTOS, un sistema operativo en tiempo real utilizado por más de tres mil millones de dispositivos, incluidas máquinas de ultrasonido, sistemas de almacenamiento, sistemas críticos para aviónica y otros.

FreeBSD, señalaron los investigadores, es ampliamente utilizado por servidores de alto rendimiento en millones de redes de TI y también es la base para otros proyectos de código abierto bien conocidos, como firewalls y varios dispositivos de red comerciales.

Agregaron que NetX es usualmente administrado por ThreadX RTOS, que tuvo 6.2 mil millones de implementaciones en 2017 y se puede encontrar en dispositivos médicos, sistemas en chip y varios modelos de impresoras.

"Las organizaciones en los sectores de salud y gobierno se encuentran entre las tres principales cariño cted para las tres pilas ", escribieron los investigadores. "Si asumimos de manera conservadora que el uno por ciento de las más de 10 mil millones de implementaciones discutidas anteriormente son vulnerables, podemos estimar que al menos 100 millones de dispositivos se ven afectados por Name: Wreck".

Powerful Attack Vector

Los expertos en seguridad dijeron a TechNewsWorld que los ataques TCP / IP pueden ser particularmente poderosos.

"TCP / IP es el software que realmente hace toda la comunicación desde el dispositivo a otros sistemas", explicó Gary Kinghorn , director de marketing de Tempered Networks una empresa de microsegmentación en Seattle.

"Si se trata de un ataque basado en la red, en lugar de insertar una memoria USB en un puerto USB, debe pasar por TCP / IP ", dijo. "Corromper el software TCP / IP para permitir vulnerabilidades o explotar errores en el diseño es la base de la mayoría de los ataques".

Los ataques a la pila TCP / IP también pueden eludir algunas protecciones de seguridad elementales.

"Siempre que tenga un ataque a TCP / IP y no necesita un nombre de usuario o contraseña, es más fácil ejecutar el ataque ", observó Dhamankar.

" Las vulnerabilidades de TCP / IP son poderosas porque se pueden explotar de forma remota a través de Internet o en un intranet sin tener que subvertir otros mecanismos de seguridad como la autenticación ", agregó Bob Baxley, CTO de Bastille Networks de San Francisco, un proveedor de detección de amenazas y seguridad para Internet de las cosas.

Además, una vez que un dispositivo se ve comprometido, puede haber una bonificación para un atacante de TCP / IP. "En la mayoría de los casos, el código de las pilas TCP / IP se ejecuta con altos privilegios, por lo que cualquier vulnerabilidad de ejecución de código permitiría a un atacante obtener privilegios significativos en el dispositivo", dijo Asaf Karas, cofundador y CTO de Vdoo . , un proveedor de automatización de seguridad para dispositivos integrados en Tel Aviv, Israel.

Problemas de parcheo

Aunque algunas de las vulnerabilidades expuestas por los investigadores pueden solucionarse, el proceso puede ser problemático.

Baxley señaló que se han lanzado parches para FreeBSD, Nucleus NET y NetX.

"Para los dispositivos finales que usan esas pilas, la aplicación de parches es teóricamente posible ", dijo. "Pero, en la práctica, muchos de los sistemas vulnerables son dispositivos de IoT que ejecutan sistemas operativos en tiempo real que no tienen un programa de parches normal y es poco probable que reciban un parche".

"Los dispositivos de IoT generalmente se manejan con un 'despliegue y olvídate del enfoque y, a menudo, solo se reemplazan después de que fallan o alcanzan el final de su capacidad de servicio ", agregó Jean-Philippe Taggart, investigador de seguridad senior en Malwarebytes .

" Eso no es muy enfoque eficaz ", dijo a TechNewsWorld.

La edad puede ser otro problema para los dispositivos de IoT. "Estos sistemas se pueden parchear, pero generalmente son implementaciones muy antiguas que pueden usarse para escenarios para los que no fueron previstos", observó Kinghorn.

"Son vulnerables debido a su gran complejidad e incapacidad para identificar riesgos fácilmente, " él continuó. "Es más frecuente que los piratas informáticos puedan explotarlos antes de que se les aplique un parche".

"Siempre ha sido muy difícil parchear las vulnerabilidades de IoT", añadió Dhamankar. "Ya es bastante difícil parchear las vulnerabilidades del servidor y del escritorio".

Tácticas de defensa

Incluso sin parches, hay formas de proteger una red de los explotadores de las vulnerabilidades encontradas por los investigadores de Forescout y JSOF.

Baxley explicó que para explotar las vulnerabilidades de Name: Wreck, un atacante tiene que responder a una solicitud de DNS del dispositivo de destino con un paquete falsificado que tiene la carga útil maliciosa. Para lograr esto, un atacante necesitará acceso de red al dispositivo objetivo.

"Mantener los dispositivos, especialmente los dispositivos IoT, segmentados de Internet y las redes internas centrales es un mecanismo para mitigar el riesgo de exposición", dijo. [19659003] El monitoreo de DNS también puede ayudar a defenderse contra Name: Wreck. "Monitorear la actividad del DNS en el entorno y marcar cualquier actividad del servidor DNS externo es un buen paso", observó Dhamankar.

"En general", agregó, "el DNS es una gran fuente para monitorear los compromisos con los análisis de seguridad". [19659003] La gestión de acceso reforzada también puede frustrar a los atacantes. "Si el sistema en sí no se puede parchear, y este puede ser el caso de los sistemas de control industrial antiguos u otros dispositivos de red OT y puntos finales de IoT, es importante asegurarse de que la red solo permita tráfico seguro y confiable a estos dispositivos", Kinghorn

"Aquí es donde los diseños de Zero Trust pueden ayudar, asegurando que solo los dispositivos autorizados puedan acceder a estos sistemas vulnerables", continuó. "También puede ayudar a monitorear y analizar continuamente el tráfico a esos dispositivos para garantizar que no llegue tráfico potencialmente malicioso o sospechoso".

"IoT en su conjunto es un punto de acceso para la seguridad", agregó Chris Morales, CISO de Netenrich un proveedor de servicios del centro de operaciones de seguridad en San José, California

"Contraseñas débiles y cuentas de usuario codificadas, falta de parches y componentes obsoletos, estas últimas vulnerabilidades son solo más para la pila de inseguridad que es IoT ", dijo a TechNewsWorld.


Leave a Reply

Your email address will not be published. Required fields are marked *