Ripple20: vulnerabilidades en millones de dispositivos del IdC

Expertos israelíes afirman que centenares de millones de dispositivos del IdC presentan vulnerabilidades críticas; y esa es la estimación más conservadora.

Un grupo de expertos de la empresa israelí JSOF ha hallado 19 vulnerabilidades de día cero, algunas de ellas críticas, que afectan a cientos de millones de dispositivos del Internet de las cosas (IdC). Lo peor de todo es que algunos de estos dispositivos nunca recibirán actualizaciones. Todas las vulnerabilidades se hallaron en la biblioteca de TCP/IP de Treck Inc., que la empresa ha estado desarrollando durante más de dos décadas. El sistema de vulnerabilidades se denomina Ripple20.

¿Cómo te puede afectar?

Puede que nunca hayas escuchado hablar de Treck o de su biblioteca de TCP/IP, pero dado el número de dispositivos y vendedores afectados, probablemente en tu red corporativa aparezca al menos una. Esta biblioteca está presente en todo tipo de soluciones del IdC, lo que significa que los dispositivos vulnerables del IdC incluyen artículo como impresoras domésticas y de oficina o equipos industriales y médicos.

La creación de Treck es una biblioteca de bajo nivel que permite que los dispositivos interactúen de forma recíproca con Internet. Durante los últimos 20 años, desde el lanzamiento de la primera versión, muchas empresas la han estado utilizando, ya que suele resultar más sencillo utilizar una biblioteca prefabricada que desarrollar una propia. Algunos la implementaban sin más; otros la modificaban para adaptarla a sus necesidades o la integraban con otras bibliotecas.

Por otra parte, al buscar empresas afectadas por Ripple20, los investigadores hallaron varios casos en los que el comprador original de la biblioteca había cambiado su nombre. En algunos casos, otra empresa había asumido el control. Por ello, no es sencillo conocer la cantidad real de dispositivos que utilizan esta biblioteca; aunque la cifra se estima en “centenares de millones”, podrían ser incluso miles de millones.

Esta cadena de suministro más bien compleja es también la razón de que algunos dispositivos nunca reciban parches.

¿Qué son las vulnerabilidades y por qué son peligrosas?

El nombre genérico Ripple20 abarca un total de 19 vulnerabilidades con diferentes grados de gravedad. Los investigadores aún tienen pendiente divulgar todos los detalles técnicos. Tienen pensado hacerlo en una conferencia Black Hat a finales de verano. No obstante, se sabe que al menos cuatro vulnerabilidades se consideran críticas, con una puntuación CVSS (sistema de puntuación de vulnerabilidades comunes) de más de 9.0.

Otras cuatro vulnerabilidades que no están presentes en la versión más reciente de la biblioteca aparecen en las iteraciones anteriores que todavía se usan en dispositivos; la biblioteca se ha actualizado por motivos ajenos a la seguridad y muchos vendedores han seguido utilizando versiones anteriores.

De acuerdo con JSOF, algunas de las vulnerabilidades permiten que los atacantes (que pueden permanecer ocultos durante años sin ser detectados) tomen el control total de un dispositivo y lo utilicen para robar datos de las impresoras o cambiar el comportamiento del dispositivo. Dos vulnerabilidades críticas permiten la ejecución remota de código arbitrario. En el sitio web de los investigadores encontrarás una lista de vulnerabilidades y un vídeo de demostración.

Qué hacer al respecto

Para las empresas que utilizan la biblioteca TCP/IP de Treck, los investigadores recomiendan contactar con los desarrolladores y actualizar la biblioteca a su versión más reciente. De no ser posible, habría que desactivar todas las funciones vulnerables en los dispositivos.

En cuanto a las empresas que utilizan dispositivos vulnerables en su trabajo cotidiano, la tarea a la que se enfrentan es abrumadora. Para empezar, necesitan determinar si las vulnerabilidades se encuentran presentes en el equipo que utilicen. Esto no es tan simple como parece y puede que requiera la ayuda de los proveedores o los centros regionales de asistencia CERT (equipo de respuesta a emergencias informáticas). Además, es aconsejable que las empresas:

  • Actualicen el firmware de todos los dispositivos (se recomienda de todos modos, sin importar las nuevas vulnerabilidades).
  • Reduzcan al mínimo el acceso a Internet de los dispositivos críticos del IdC.
  • Aíslen la red de la oficina de las redes en las que se utilizan dichos dispositivos (un consejo atemporal: hay que hacerlo cueste lo que cueste).
  • Configuren los proxies de DNS en las redes con los dispositivos de IdC.

Por nuestra parte, recomendamos el uso de una solución de seguridad de confianza capaz de detectar la actividad anormal en la red corporativa. Por ejemplo, este es uno de los muchos beneficios de la solución Kaspersky Threat Management and Defense.

Consejos