Ripple20: Evaluación de riesgos y mitigaciones

Ripple20 compromete a decenas de millones de dispositivos en Internet

Ripple20 compromete a decenas de millones de dispositivos en Internet

Ripple20 plantea un riesgo significativo para decenas de millones dispositivos que todavía están en uso y conectados en Internet.

Los proveedores afectados por Ripple20 van desde boutiques de una sola persona hasta corporaciones multinacionales Fortune 500, incluidos HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, así como muchos otros proveedores internacionales importantes sospechosos de ser vulnerables.

Las verticales más afectadas son el control médico, de transporte e industrial. , empresas, energía (petróleo / gas), telecomunicaciones, comercio minorista y comercio, y otras industrias.

Los escenarios de riesgo de Ripple20 tienen un potencial que incluyen:

  • Un atacante desde fuera de la red que toma el control de un dispositivo dentro de la red, si está conectado a Internet.
  • Un atacante que ya ha logrado infiltrarse en una red puede usar las vulnerabilidades de la biblioteca para atacar dispositivos específicos dentro de ella.
  • Un atacante podría transmitir un ataque capaz de hacerse cargo de todos los dispositivos afectados en la red simultáneamente.
  • Un atacante puede utilizar el dispositivo afectado como una forma de permanecer oculto dentro de la red durante años.
  • Un atacante sofisticado puede potencialmente realizar un ataque a un dispositivo dentro de la red, desde fuera de los límites de la red, evitando así cualquier configuración de NAT. Esto se puede hacer mediante un ataque MITM o una intoxicación con caché dns.
  • En algunos escenarios, un atacante puede realizar ataques desde fuera de la red respondiendo a paquetes que salen de los límites de la red, sin pasar por NAT.

En todos los escenarios, un atacante puede obtener un control completo sobre el dispositivo objetivo de forma remota, sin necesidad de interacción del usuario.

Personalmente recomiendo tomar medidas para minimizar o mitigar el riesgo de explotación del dispositivo.

Las opciones de mitigación dependen del contexto.

Los vendedores de dispositivos tendrían diferentes enfoques de los operadores de red.

En general, recomendamos los siguientes pasos:

  • Todas las organizaciones deben realizar una evaluación integral de riesgos antes de implementar medidas defensivas.
  • Primero despliegue medidas defensivas en modo pasivo de “alerta”.
  • Mitigación para proveedores de dispositivos:
    • Determine si usa una pila de Treck vulnerable
    • Póngase en contacto con Treck para comprender los riesgos.
    • Actualice a la última versión de la pila Treck (6.0.1.67 o superior)
    • Si las actualizaciones no son posibles, considere deshabilitar características vulnerables, si es posible
  • Mitigación para operadores y redes: (basado en los avisos CERT / CC y CISA ICS-CERT)
    • La primera y mejor mitigación es actualizar a versiones parcheadas de todos los dispositivos.

Si los dispositivos no se pueden actualizar, le recomiendo los siguientes pasos:

      • Minimice la exposición de la red para dispositivos integrados y críticos, manteniendo la exposición al mínimo necesario y garantizando que los dispositivos no sean accesibles desde Internet a menos que sea absolutamente esencial.
      • Separe las redes y dispositivos OT detrás de los firewalls y aíslelos de la red empresarial.
      • Habilite solo los métodos de acceso remoto seguro.
    • Bloquee el tráfico anómalo de IP.
    • Bloquee los ataques de red a través de la inspección profunda de paquetes, para reducir el riesgo para sus dispositivos con TCP / IP incorporado Treck.

El filtrado de tráfico preventivo es una técnica efectiva que se puede aplicar según corresponda a su entorno de red.

Las opciones de filtrado incluyen:

  • Normalice o bloquee fragmentos de IP, si no es compatible con su entorno.
  • Deshabilite o bloquee el túnel de IP (IPv6-in-IPv4 o IP-in-IP tunneling), si no es necesario.
  • Bloquee el enrutamiento de origen de IP y cualquier característica obsoleta de IPv6, como los encabezados de enrutamiento VU # 267289
  • Inspección TCP forzada, rechazando paquetes TCP mal formados.
  • Bloquee los mensajes de control ICMP no utilizados, como la actualización de MTU y las actualizaciones de Máscara de dirección.
  • Normalice DNS a través de un servidor recursivo seguro o un firewall de inspección de DNS. (Verifique que su servidor DNS recursivo normalice las solicitudes).
  • Proporcione seguridad DHCP / DHCPv6, con características como la inspección DHCP.
  • Deshabilite / bloquee las capacidades de multidifusión IPv6 si no se usa en la infraestructura de conmutación.
  • Deshabilite DHCP donde se pueden usar IP estáticas.
  • Emplear firmas de red IDS e IPS.
  • Emplee la segmentación de la red, si está disponible. 

Por Marcelo Lozano – General Publisher IT Connect Latam