IoT

Ripple20: Vulnerabilidades em milhões de dispositivos IoT

Especialistas israelenses afirmam que milhões de dispositivos conectados à IdC contêm vulnerabilidades críticas – e essa é a estimativa mais conservadora.

Hugh Aver
25 jun 2020

Especialistas da empresa israelense JSOF descobriram 19 vulnerabilidades 0-day, algumas delas consideradas críticas, que afetam centenas de milhões de dispositivos conectados à Internet das Coisas (IoT). A pior parte é que alguns dispositivos nunca receberão atualizações. Todas as vulnerabilidades foram encontradas na biblioteca TCP/IP da Treck Inc., empresa que a desenvolve há mais de duas décadas. O conjunto de vulnerabilidades é denominado Ripple20.

Como isso pode afetá-lo?

Você pode nunca ter ouvido falar da Treck ou de sua biblioteca TCP/IP, mas, dado o número de dispositivos e fornecedores afetados, sua rede corporativa provavelmente inclui pelo menos um eles. A biblioteca está presente em todos os tipos de soluções de IoT, o que significa que os dispositivos vulneráveis vão desde itens como impressoras domésticas e de escritório até equipamentos industriais e médicos.

A criação da Treck é uma biblioteca de baixo nível que permite que os dispositivos interajam com a Internet. Nos últimos 20 anos, desde o lançamento da primeira versão, foi usada por várias empresas – na maioria das vezes é mais fácil ter uma biblioteca pronta do que desenvolver a própria. Algumas empresas simplesmente a aplicaram; outras a modificaram para atender suas necessidades ou a incorporaram em outras bibliotecas.

Além disso, ao procurar empresas afetadas pelo Ripple20, os pesquisadores encontraram vários casos em que o comprador original da biblioteca havia mudado de nome. Em alguns casos, foram adquiridos por outras empresas. Por fim, avaliar o número real de dispositivos que usam essa biblioteca não é simples. “Centenas de milhões” é uma estimativa preliminar aproximada. Pode até ser bilhões.

Essa cadeia de suprimentos bastante complexa também é motivo para alguns dispositivos nunca serem corrigidos.

Quais são as vulnerabilidades e como são perigosas?

O nome geral Ripple20 abrange um total de 19 vulnerabilidades de diferentes graus de criticidade. Os pesquisadores ainda não divulgaram todos os detalhes técnicos; planejam fazer isso em uma conferência da Black Hat, nos próximos meses. Sabe-se, no entanto, que pelo menos quatro das vulnerabilidades são consideradas críticas, com pontuação CVSS superior a 9,0.

Outras quatro vulnerabilidades que não estão presentes na versão mais recente da biblioteca aparecem nas versões anteriores ainda usadas nos dispositivos – ela foi atualizada por outros motivos além de segurança, mas muitos fornecedores continuaram usando versões mais antigas.

De acordo com a JSOF, algumas das vulnerabilidades permitem que os invasores – que podem permanecer ocultos por anos – assumam o controle total de um dispositivo e o usem para roubar dados de impressoras ou alterar o comportamento do dispositivo. Duas vulnerabilidades críticas permitem a execução remota de código arbitrário. Uma lista de vulnerabilidades e uma demonstração em vídeo estão disponíveis no site dos pesquisadores.

O que fazer?

Para empresas que usam a biblioteca TCP/IP da Treck, os pesquisadores recomendam entrar em contato com os desenvolvedores e atualizar a biblioteca para a versão mais recente. Se isso não for possível, desative todas as funções vulneráveis nos dispositivos.

Quanto às empresas que usam dispositivos vulneráveis em seu trabalho diário, elas enfrentam uma tarefa assustadora. Para começar, eles precisam determinar se há vulnerabilidades em qualquer um dos equipamentos usados. Isso não é tão simples quanto parece e pode exigir a assistência de centros ou fornecedores regionais do CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança, em tradução livre). Além disso, as empresas são aconselhadas a:

Atualizar o firmware de todos os dispositivos (algo recomendado de toda maneira, independentemente de novas vulnerabilidades).
Reduzir o acesso à Internet de dispositivos críticos IoT;
Separar a rede corporativa das redes em que esses dispositivos são usados (dica: faça isso independentemente de qualquer coisa);
Configurar proxies DNS em redes com dispositivos IoT.

De nossa parte, recomendamos o uso de uma solução de segurança confiável capaz de detectar atividades anormais na rede corporativa. Por exemplo, esse é um dos muitos benefícios do Kaspersky Threat Management and Defense.

Segurança dos carros com piloto automático

Para proteger Sistemas Avançados de Assistência ao Motorista (ADAS) contra interferências externas, carros precisam de uma abordagem especial no âmbito da cibersegurança.

FERRAMENTAS GRATUITAS

Ripple20: Vulnerabilidades em milhões de dispositivos IoT

Como isso pode afetá-lo?

Quais são as vulnerabilidades e como são perigosas?

O que fazer?

Três razões para não usar fechaduras inteligentes

Como proteger dispositivos IoT corporativos

Segurança dos carros com piloto automático

Dicas

É seguro tirar uma selfie com um documento de identidade?

Cinquenta tons de “sextorsão”

Quando você recebe um código de login para uma conta que não é sua

Assinatura ou travessura? Gerencie suas assinaturas com facilidade

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog