Contenidos
Todo, desde los dispositivos domésticos inteligentes hasta la tecnología industrial, podría verse afectado.
Un nuevo informe técnico de investigadores de la firma de seguridad corporativa Forescout ha descubierto una vulnerabilidad que potencialmente afecta a millones de dispositivos conectados.
El problema se debe a vulnerabilidades de día cero en cuatro bibliotecas de código TCP / IP de código abierto ampliamente utilizadas.
Amnesia: 33 podría ser difícil de olvidar
El equipo detrás del libro blanco apodó esta vulnerabilidad Amnesia: 33y describe cada problema en detalle en un documento técnico disponible en Forescout[PDF].
Forescout estima que la brecha de seguridad afecta a más de 150 proveedores de dispositivos conectados en todo el mundo. Potencialmente, millones de dispositivos son vulnerables, desde dispositivos domésticos inteligentes hasta dispositivos de Internet de las cosas (IoT) utilizados en entornos industriales.
La vulnerabilidad tiene algunas formas potenciales en las que puede afectar a una variedad de dispositivos, como señala el documento técnico:
-
Ejecución de código remoto (RCE) para tomar el control de un dispositivo de destino
-
Denegación de servicio (DoS) para comprometer la funcionalidad e impactar las operaciones comerciales
-
Pérdida de información (Infoleak) para adquirir información potencialmente sensible
-
Envenenamiento de la caché de DNS para dirigir un dispositivo a un sitio web malicioso
Cualquiera de estos patrones de ataque podría causar estragos en un sistema, y arreglar el agujero no será una tarea fácil.
Riesgos y consecuencias de gran alcance
Esta no es la primera vez que los sistemas conectados muestran fallas, y algunos incluso se preguntan si dispositivos como Ring pueden hacer que su hogar sea menos seguro que los dispositivos de seguridad tradicionales fuera de línea. Si bien hasta ahora no hay ataques documentados como resultado de esta vulnerabilidad, el equipo de Forescout ha descrito algunos escenarios de ataque creíbles.
La pila de red utilizada está presente en una gran cantidad de dispositivos conectados, incluidos enchufes inteligentes y monitores de temperatura, lo que podría afectar a los usuarios domésticos, pero tendría consecuencias mucho más graves en los espacios públicos.
En un entorno sanitario, por ejemplo, un atacante podría iniciar sesión en la red y causar daños, lo que podría afectar el sistema de temperatura, las cerraduras conectadas o activar falsas alarmas de incendio. En un entorno minorista, los sensores de temperatura conectados son un punto frecuente de debilidad, y una vez en línea, un pirata informático podría desconectar toda la tienda, lo que haría que muchas tiendas no pudieran completar transacciones o rastrear el inventario.
Por supuesto, estos son los peores escenarios, pero como ocurre con todos los documentos técnicos de seguridad: si Forescout ha pensado en ello, es probable que alguien con malas intenciones también lo haya hecho.
¿Por qué no se puede arreglar?
Las bibliotecas de códigos en el corazón de Amnesia: 33 son los bloques de construcción fundamentales de muchos dispositivos en red. Todos son de código abierto, lo que significa que están disponibles gratuitamente para que los desarrolladores los utilicen o modifiquen.
Si bien todas estas bibliotecas de código están actualizadas, la naturaleza del uso de código disponible gratuitamente da como resultado bibliotecas remezcladas, implementaciones únicas y grandes áreas de base de código con código potencialmente malicioso.
En esta etapa, la única forma en que esto se resuelve es si las empresas asumen la responsabilidad individual y evalúan sus implementaciones de software, hasta el más mínimo detalle.
Si bien la mayoría de los vendedores se lo toman en serio, dudo que esta sea la última vez que escuchemos sobre Amnesia: 33.
Sobre el Autor