Gartner estima que mais de 80% de todas as organizações atualmente usam a Internet das Coisas (IoT) para resolver casos de uso de negócios, e uma em cada cinco sofreu um ataque sério nos últimos três anos. A maioria dessas empresas usa equipamentos que são afetados por pelo menos 33 falhas ou vulnerabilidades recém-descobertas, a maioria das quais provavelmente nunca será corrigida devido a vários motivos.
No início deste ano, pesquisadores de segurança descobriram que milhões de IoT e dispositivos de vigilância alimentados por chips HiSilicon têm um backdoor trivial que dificilmente será corrigido tão cedo, já que a controladora Huawei tem pouco controle sobre implementações de firmware de terceiros.
Hoje, um novo relatório do Forescout Research Labs revelou que uma nova série de vulnerabilidades afetará dispositivos de mais de 150 fornecedores. Coletivamente apelidados de “Amnesia: 33”, as falhas afetam quatro pilhas TCP / IP de código aberto, especificamente: uIP, picoTCP, FNET e Nut / Net. De longe, o mais vulnerável é o uIP, que por acaso é usado pela maioria dos fornecedores da lista.
O número de dispositivos potencialmente afetados é enorme, pois inclui wearables, smartphones, consoles de jogos, impressoras, roteadores, switches, câmeras IP, fontes de alimentação ininterrupta, sistemas HVAC, quiosques de auto-checkout, caixas eletrônicos, leitores de código de barras, computadores de placa única como o Raspberry Pi, eletrodomésticos e sensores inteligentes, servidores e muitos outros dispositivos de consumo, empresariais e industriais.
Se exploradas, as 33 vulnerabilidades permitem que os invasores executem uma ampla gama de ataques maliciosos, como negação de serviço (DoS), execução remota de código (RCE), envenenamento do cache DNS para redirecionar para um domínio malicioso e vazamento de informações para adquirir informações confidenciais.
Os pesquisadores do Forescout já haviam descoberto 20 vulnerabilidades na pilha Treck TCP / IP chamada Ripple20, que foram eventualmente corrigidas pela empresa de software baseada em Cincinnati. No entanto, as vulnerabilidades Amnesia: 33 afetam bibliotecas de código aberto usadas em uma miríade de dispositivos de uma variedade de empresas diferentes, o que os torna muito mais difíceis de corrigir. Cinco das falhas existem há 20 anos, e muitos dos dispositivos afetados usam chips de um rico ecossistema de fornecedores de silício de terceiros, muitos dos quais oferecem pouca documentação e alguns dos quais não estão mais no mercado.
Forescout tem trabalhado com a agência de defesa cibernética da Alemanha BSI, o CERT Coordination Center, ICS-CERT, JPCERT e a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna para coordenar a emissão de alertas sobre Amnésia:33.
Nesse ínterim, o laboratório de pesquisa explica que as organizações podem mitigar os riscos corrigindo sempre que possível, monitorando pacotes malformados, contando com servidores DNS internos, bloqueando ou desabilitando o tráfego IPv6 e segmentando e zoneando para minimizar o impacto no caso de um dispositivo ser comprometido para obter um acesso mais profundo.
Saiba mais sobre o Amnésia:33 e as falhas encontradas em nosso setor de segurança digital.