Investigadores de la firma de ciberseguridad Forescout han encontrado nueve vulnerabilidades que afectan a nueve pilas de TCP / IP diferentes ampliamente utilizadas en dispositivos de tecnología operativa (OT) y IoT. Según ellos, las vulnerabilidades provienen de la generación débil del número de secuencia inicial (ISN) y pueden explotarse para ataques de denegación de servicio (DoS) contra dispositivos vulnerables, ya sea para inyectar datos maliciosos en un dispositivo o para evitar la autenticación.
TCP es un protocolo de red para conexión que permite que dos terminales intercambien datos. Es uno de los protocolos utilizados en la capa de transporte TCP / IP y tiene como objetivo la entrega ordenada y la verificación de errores de datos entre terminales de red.
“Los ISN garantizan que cada conexión TCP entre dos dispositivos sea única y que no haya colisiones, lo que evita que terceros interfieran con una conexión en curso. Para garantizar estas propiedades, los ISN deben generarse aleatoriamente para que un atacante no pueda adivinar un ISN y secuestrar una conexión en curso o falsificar una nueva ”, explican los investigadores.
Pero, según ellos, desafortunadamente, las pilas vulnerables no usan un generador de números pseudoaleatorios (PRNG) para generar valores ISN o usan un algoritmo PRNG débil.
Los investigadores analizaron 11 pilas de TCP / IP, siete de las cuales son de código abierto (uIP, FNET, picoTCP, Nut / Net, lwIP, cycloneTCP y uC / TCP-IP), y el resto incluye MPLAB Net de Microchip, NDKTCPIP de Texas Instruments. , Nanostack de ARM y Nucleus NET de Siemens.
Descubrieron que lwIP y Nanostack no eran vulnerables, pero el resto sí lo eran, y que las vulnerabilidades permiten a los atacantes predecir el ISN de conexiones TCP nuevas o existentes.
Parche y mitigación
La buena noticia es que la mayoría de los proveedores ya han publicado parches o pautas de mitigación, aunque los desarrolladores de Nut / Net todavía están trabajando en una solución y los desarrolladores de uIP aún no han respondido al informe de Forescout.
La mala noticia es que la aplicación de parches a todos los dispositivos afectados, y eso incluye dispositivos médicos, sistemas de monitoreo de turbinas eólicas, unidades terminales remotas y sistemas de almacenamiento de TI, entre otros, es poco probable, porque los dispositivos integrados son notoriamente difíciles de administrar y actualizar, ya que son a menudo forma parte de la infraestructura de misión crítica.
Sin embargo, aconsejaron a los administradores que descubrieran e inventariaran los dispositivos que ejecutan una pila TCP / IP vulnerable y les proporcionaran una secuencia de comandos de código abierto que puede ayudarlos e implementar un parche cuando sea posible.
“Para dispositivos vulnerables de IoT y OT, utilice la segmentación para minimizar la exposición de la red y la probabilidad de compromiso, sin afectar las funciones esenciales ni las operaciones comerciales. La segmentación y la zonificación también limitan el radio de explosión y el impacto comercial si un dispositivo vulnerable se ve comprometido ”, recomiendan los investigadores.
Finalmente, la implementación de IPsec puede ayudar a defenderse contra ataques de suplantación de identidad de TCP y restablecimiento de conexión.
Fuente: https://www.cisoadvisor.com.br/falhas-em-pilhas-tcp-ip-abrem-portas-para-ataques-a-dispositivos-iot-e-ot/?rand=59158
