Pesquisadores de cibersegurança divulgaram uma dúzia de novas falhas em várias pilhas de TCP/IP incorporadas amplamente utilizadas, impactando milhões de dispositivos que vão desde equipamentos de rede e dispositivos médicos até sistemas de controle industrial que poderiam ser explorados por um invasor para assumir o controle de um sistema vulnerável.
Chamado coletivamente de “AMNESIA:33” pelos pesquisadores do Forescout, é um conjunto de 33 vulnerabilidades que impactam quatro pilhas de protocolos TCP/IP de código aberto — uIP, FNET, picoTCP e Nut/Net — que são comumente usadas em dispositivos de Internet-das-Coisas (IoT) e dispositivos incorporados.
Como consequência do gerenciamento inadequado da memória, a exploração bem-sucedida dessas falhas pode causar corrupção de memória, permitindo que os invasores comprometam dispositivos, executem códigos maliciosos, realizem ataques de negação de serviço (DoS), roubem informações confidenciais e até envenenem o cache DNS.
No mundo real, esses ataques podem acontecer de várias maneiras: interromper o funcionamento de uma usina para resultar em um apagão ou tomar sistemas de alarme de fumaça e monitor de temperatura offline usando qualquer uma das vulnerabilidades do DoS.
As falhas, que foram detalhadas hoje na Conferência de Segurança da Black Hat Europe, foram descobertas como parte da iniciativa Project Memoria da Forescout para estudar a segurança das pilhas TCP/IP.
O desenvolvimento levou o CISA ICS-CERT a emitir um aviso de segurança na tentativa de fornecer um aviso prévio das vulnerabilidades relatadas e identificar medidas preventivas de base para mitigar riscos associados às falhas.
Milhões de dispositivos de cerca de 158 fornecedores são vulneráveis à AMNESIA:33, com a possibilidade de execução remota de código permitindo que um adversário assuma o controle completo de um dispositivo, e usando-o como um ponto de entrada em uma rede de dispositivos IoT para mover lateralmente, estabelecer persistência e cooptar os sistemas comprometidos em botnets sem o seu conhecimento.
“Amnésia:33 afeta múltiplas pilhas de TCP/IP de código aberto que não pertencem a uma única empresa”, disseram os pesquisadores . “Isso significa que uma única vulnerabilidade tende a se espalhar facilmente e silenciosamente por várias bases de código, equipes de desenvolvimento, empresas e produtos, o que apresenta desafios significativos para o gerenciamento de patches.”
Como essas vulnerabilidades se estendem por uma cadeia de suprimentos de IoT complexa, a Forescout alertou que é tão desafiador determinar quais dispositivos são afetados, pois são difíceis de erradicar.
Como as falhas urgentes/11 e ripple20 que foram divulgadas nos últimos tempos, a AMNESIA:33 decorre de gravações fora dos limites, falhas de estourou falta de validação de entrada, levando à corrupção da memória e permitindo que um invasor coloque dispositivos em loops infinitos, envenene caches DNS e extraia dados arbitrários.
Três dos problemas mais graves residem no UIP (CVE-2020-24336), picoTCP (CVE-2020-24338) e Nut/Net (CVE-2020-25111), todos com falhas de execução remota de código (RCE) e têm pontuação cvss de 9,8 de um máximo de 10.
- CVE-2020-24336 – O código para analisar registros de DNS em pacotes de resposta DNS enviados pelo NAT64 não valida o campo de comprimento dos registros de resposta, permitindo que os invasores corrompam a memória.
- CVE-2020-24338 – A função que analisa nomes de domínio não possui verificações de limites, permitindo que os atacantes corrompam a memória com pacotes DNS criados.
- CVE-2020-25111 – Um estouro de buffer de pilha ocorrendo durante o processamento do campo de nome de um registro de recurso de resposta DNS, permitindo que um invasor corrompa a memória adjacente escrevendo um número arbitrário de bytes para um buffer alocado.
A partir da redação, fornecedores como a Microchip Technology e a Siemens que foram afetadas pelas vulnerabilidades relatadas também lançaram avisos de segurança.
“Sistemas embarcados, como dispositivos IoT e [tecnologia operacional], tendem a ter vida útil de longa vulnerabilidade resultante de uma combinação de problemas de patches, ciclos de vida de suporte longo e vulnerabilidades ‘escorrendo’ cadeias de suprimentos altamente complexas e opacas”, disse Forescout.
“Como resultado, as vulnerabilidades em pilhas de TCP/IP incorporadas têm o potencial de afetar milhões – até bilhões – de dispositivos em verticais e tendem a permanecer um problema por muito tempo.”
Além de exortar as organizações a realizar a análise adequada de impacto e a avaliação de riscos antes de implantar medidas defensivas, a CISA recomendou minimizar a exposição à rede, isolar redes de sistemas de controle e dispositivos remotos atrás de firewalls e usar VPNs (Virtual Private Networks, redes privadas virtuais) para acesso remoto seguro.