Ripple20: del día cero al día para siempre

Toda una colección de fallas de seguridad en una pila TCP / IP generalizada está causando confusión en el mundo de IoT y en la industria.

Un agujero de seguridad sin parchear en un programa a menudo se denomina agujero de «día cero». Cuando se trata de brechas de seguridad, muchas personas lo descartan rápidamente: en algún momento habrá una actualización y la brecha de seguridad se solucionará. Y que esto es importante es algo que no solo nosotros en G DATA señalamos constantemente, sino también muchos otros expertos en seguridad de todo el mundo. Sin embargo, lo que se aplica a los sistemas operativos y programas instalados también se aplica a numerosos dispositivos compatibles con la red. Y hoy en día hay más de ellos casi todos los días, pero las actualizaciones a menudo son un problema, porque a menudo no hay ninguna. De esta manera, un día cero se convierte rápidamente en un «día para siempre» del que algunas personas ni siquiera saben nada.

¿Cómo puede alguien no saber que existe una vulnerabilidad irrecuperable en un dispositivo o sistema?

Lo difícil que puede ser la búsqueda se puede ilustrar con la siguiente pregunta: ¿Sabe de qué acería proviene el material para la carrocería de su automóvil? ¿O quién construyó la pila TCP / IP bajo el control del tren de laminación del molino? ¿O la interfaz del navegador de su cámara web inteligente? Probablemente no. Y eso también está bien. La situación es diferente si eres el operador de una gran planta industrial o una planta de energía. Entonces, por lo general, sabe quién es el fabricante de los dispositivos que se utilizan tanto en TI como en OT. Sin embargo, estos fabricantes a menudo compran tecnologías por sí mismos. Este procedimiento es absolutamente común, porque nadie quiere reinventar constantemente la rueda.

Cadenas de suministro: un punto ciego en seguridad

Se vuelve interesante, y por lo tanto relevante, para los fabricantes y clientes si uno de los componentes suministrados presenta una falla. Especialmente cuando se trata de seguridad. Pero, ¿qué pasa si el componente afectado está tan extendido que es imposible decir exactamente dónde está? ¿Y si no hay forma de actualizar en absoluto?
Entonces, un buen consejo es caro en el verdadero sentido de la palabra. Esto es exactamente lo que ha sucedido ahora: un total de 19 brechas de seguridad diferentes, resumidas bajo la designación «Ripple20» (en inglés: ripple = ripple) en una pila TCP / IP generalizada, están abriendo enormes agujeros en los conceptos de seguridad de las empresas de todo el mundo. el mundo.En algunos casos, las vulnerabilidades descubiertas también permiten el contrabando de código de programa externo, que luego se puede ejecutar en el dispositivo atacado. JSOF (la compañía que popularizó Ripple20) estima que cientos de millones de dispositivos más en todo el mundo podrían verse afectados . Toda la información se resume en el sitio web de JSOF .

¿Cuál es la diferencia entre «IT» y «OT»?

La mayoría de la gente sabe lo que es. Estas son las computadoras con las que todos trabajamos todos los días. Pero los sistemas de producción también están controlados por computadora, por el llamado OT, abreviatura de «Tecnología operativa». No hay una persona permanente sentada aquí que coordine y supervise directamente el trabajo. Se podría decir de una manera algo frívola y simplista: «Si no tiene pantalla, teclado y mouse y todo se ejecuta automáticamente, es OT». En este mundo fuera de la oficina, existen computadoras de control como controladores lógicos programables (PLC). Cada uno de nosotros también tiene que ver con estos sirvientes mudos en la vida cotidiana, por ejemplo, en escaleras mecánicas, ascensores o el control dependiente del clima de las persianas enrollables. Consta de sensores y actuadores y realiza tareas sencillas: «Si la presión en la línea X supera un valor Y, luego abra la válvula Z ”. A diferencia de la TI clásica, la seguridad solo ha sido parte de la TO recientemente. Y algunos de los dispositivos y programas están diseñados para funcionar durante décadas. Por lo tanto, OT no puede tratarse de la misma manera que TI.

Challenges, Opportunities and Strategies for Integrating OT and IT with the  Modern PI System

Las actualizaciones son un desafío

Independientemente de si se trata de una planta industrial, un dispositivo médico o una lámpara inteligente: muchos dispositivos están conectados en red. Algunos de ellos se encuentran en zonas de peligro de difícil acceso. Los sistemas reciben datos de sensores y controlan motores y válvulas. Alguien con acceso a estos sistemas puede causar mucho daño e incluso poner en riesgo vidas humanas.
Sin embargo, para muchos de estos dispositivos y máquinas, las actualizaciones solo son posibles a intervalos muy largos, si es que lo hacen. Los sistemas de producción funcionan en su mayoría en funcionamiento continuo y a menudo se paran solo una vez al año por razones de costo y eficiencia para llevar a cabo trabajos de mantenimiento y limpieza. Todas las tareas para las que hay que parar las máquinas se concentran en estos pocos días u horas del año. La situación es similar con los dispositivos médicos como los escáneres CT o MRT, pero también las máquinas de anestesia y ventilación, que transmiten información sobre las dosis de medicamentos administradas a través de la red con fines de documentación.

¿Actualizaciones solo una vez al año en la computadora en casa, en la oficina o en el teléfono inteligente? Casi impensable, pero esta es la regla en la industria y la medicina. Y no solo ahí: la situación en Internet de las cosas también es algo similar. Además, los dispositivos se utilizan durante mucho más tiempo en estas áreas. Una vida útil de 15 años y más es la norma en la industria. E incluso un dispositivo de IoT no se actualiza o reemplaza necesariamente de forma regular. Las actualizaciones a menudo se descuidan, especialmente en el segmento de precios bajos. Aquí los usuarios privados y la industria sufren el mismo problema fundamental. Es probable que casi ningún propietario reemplace todos los sistemas de automatización del hogar cada dos o tres años, y las plantas industriales nunca se reemplazan en ese ciclo. 
A veces, los fabricantes ya no existen, se han comprado o el soporte para dispositivos individuales se ha descontinuado hace mucho tiempo. Quizás ni siquiera se sabe si un dispositivo en particular es susceptible a un agujero de seguridad recién descubierto de la colección Ripple20 , y si hay alguna esperanza de una actualización que solucione las vulnerabilidades.

Si se explotan las brechas de seguridad en la colección Ripple20, es probable que los efectos sean cualquier cosa menos una tormenta en un vaso de agua. (Imagen simbólica: G DATA / TBe)

El aislamiento como contramedida

Ha habido casos en el pasado en los que una actualización de una vulnerabilidad de seguridad no es posible en absoluto. El fabricante alemán ABUS tuvo que descubrir que ya no se podía arreglar una brecha de seguridad en una cámara compatible con la red. La razón: la herramienta de desarrollo requerida provino de un proveedor que ya no operaba y, por lo tanto, ya no estaba disponible. Todo lo que quedaba era sugerir que los clientes compren uno nuevo a un precio muy reducido.
En la mayoría de los casos de hardware industrial vulnerable, sin embargo, comprar nuevo no es una opción; todo lo que queda es una larga espera y la esperanza de que el fabricante proporcione una actualización de firmware adecuada de manera oportuna. Una empresa solo puede durar tanto tiempo, tome precauciones para aislar los sistemas potencialmente vulnerables del resto de la red . Si un dispositivo no tiene que ser necesariamente accesible a través de la red, es recomendable desactivar las funciones y características correspondientes. Esto se aplica tanto a las plantas industriales como a los dispositivos de IoT afectados en hogares privados.

Este aislamiento es una de las pocas medidas que pueden limitar el daño en caso de ataque. Además de JSOF, el fabricante de hardware de red Cisco, también respalda esta recomendación en una declaración en su sitio web. Dado que las máquinas de producción de muchas empresas están en la misma red que la TI de la oficina, un punto débil puede paralizar toda una fábrica. Hay ejemplos de esto del pasado, como el Incidente en el fabricante de chips TSMC en 2018 (el enlace se abrirá en una nueva ventana). Recordamos: cuando ocurrió este incidente, WannaCry se conocía desde hacía un año y las contramedidas eran bien conocidas.

Conclusión

Las medidas para prevenir incidentes tampoco son nuevas, pero en el caso de brechas de seguridad del «Día de la Eternidad» no detectadas e irrecuperables, es aún más importante implementarlas. Porque es solo cuestión de tiempo antes de que las vulnerabilidades sean explotadas para ataques serios y trascendentales. 

Enlace: https://www.gdata.de/blog/2020/07/36180-ripple20-forever-day  Blog de G DATA Tim Berghoff