home Tecnología de fabricación Equipo de fabricación
Manufactura industrial
Internet industrial de las cosas | Materiales industriales | Mantenimiento y reparación de equipos | Programación industrial |
home  MfgRobots >> Manufactura industrial >  >> Industrial Internet of Things >> Tecnología de Internet de las cosas

Ripple20:Las vulnerabilidades críticas podrían poner en riesgo sus dispositivos de IoT / OT

Los investigadores de ciberseguridad de JSOF acaban de publicar un conjunto de 19 vulnerabilidades, denominadas Ripple20, que están afectando la pila de TCP / IP desarrollada por Treck. Esta pila de software está integrada en millones de sistemas utilizados en los mercados de la salud, el transporte, la fabricación, las telecomunicaciones y la energía, lo que podría afectar a una gran cantidad de organizaciones e industrias críticas.

Las vulnerabilidades son similares a las vulnerabilidades Urgent / 11 publicadas en 2019 y afectan la pila TCP / IP desarrollada por Interpeak. Al igual que Urgent / 11, las vulnerabilidades de Ripple20 permiten a los atacantes activar la ejecución remota de código y la denegación de servicio (DoS). Muchos proveedores como HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter y otros ya han confirmado que se han visto afectados por Ripple20.

Las soluciones de Cisco IoT diseñadas para entornos industriales no se ven afectadas por Ripple20. De hecho, productos como Cisco Cyber ​​Vision y Cisco Industrial Security Appliance ISA3000 junto con las firmas Snort de Cisco Talos ayudarán a identificar las vulnerabilidades de Ripple20 en su red y remediar los riesgos. Algunos productos de Cisco son vulnerables y puede leer el aviso oficial de Cisco aquí.

Treck se fundó en 1997 y desarrolla pilas de protocolos para sistemas integrados en tiempo real. Es utilizado por muchos proveedores de equipos, ya que este software ofrece un rendimiento optimizado para dispositivos de IoT que, por lo general, tienen memoria o potencia de procesamiento limitadas, por ejemplo. Se vende en forma de código fuente, lo que facilita a los proveedores integrar solo las capas de protocolo deseadas y modificarlas para aplicaciones específicas.

Como resultado, dependiendo de cómo los fabricantes se hayan especializado e integrado estas bibliotecas, pueden volverse virtualmente inidentificables. Además, a medida que se han adquirido fabricantes, es posible que algunos hayan perdido el rastro de este componente de software, lo que hace que sea bastante difícil, si no imposible, identificar los productos afectados.

Otro dato importante es la colaboración pasada entre Treck y la empresa japonesa Elmic System (hoy Zuken Elmic). Esta colaboración dio como resultado dos pilas de TCP / IP similares mantenidas de forma independiente por cada editor y vendidas en diferentes regiones, una en el mercado estadounidense y otra en los mercados asiáticos. Varias vulnerabilidades de Ripple20 también afectan la pila de TCP / IP mantenida por Zuken Elmic.

¡Dirígete a Ripple20 rápidamente!

Ripple20 consta de una serie de 19 vulnerabilidades. Cuatro de ellos son críticos con puntuaciones superiores a 9 en la escala de gravedad CVSS. Estos deben abordarse rápidamente, ya que pueden explotarse para la ejecución de código remoto arbitrario, ataques de denegación de servicio y divulgación de información.

CVE-2020-11901 es probablemente la vulnerabilidad más grave. Puede activarse respondiendo a una solicitud de DNS desde el dispositivo y puede resultar en la ejecución remota de código. Debido a que las solicitudes de DNS generalmente abandonan la red, se pueden interceptar fácilmente para que un atacante pueda entrar. Además, el paquete enviado para aprovechar esta vulnerabilidad cumplirá con varios RFC, lo que dificulta que un firewall detecte el ataque.

Este es solo un ejemplo. La lista completa de vulnerabilidades de Ripple20 y sus descripciones se pueden encontrar en el sitio web de JSOF aquí.

Detección de Ripple20 en sus redes IoT / OT

JSOF estima que varios miles de millones de dispositivos podrían verse afectados por las vulnerabilidades de Ripple20, ya que muchos proveedores han integrado la totalidad o parte de la pila de protocolos Treck TCP / IP en los sistemas que desarrollan. El CISA ICS-CERT ha establecido una lista de proveedores afectados que se puede encontrar aquí.

Si bien los detalles y la lista de proveedores afectados continúan emergiendo, hay algunos pasos que se pueden tomar para ayudar a identificar y protegerse contra estas vulnerabilidades.

A medida que los proveedores publican avisos de seguridad para identificar cuáles de sus productos se ven afectados, Cisco continuará actualizando la base de conocimientos de Cyber ​​Vision para que pueda detectar sus activos afectados. Cisco Cyber ​​Vision es una solución diseñada específicamente para detectar ataques contra dispositivos IoT / OT. Descubre automáticamente los detalles más pequeños de sus redes industriales y crea un inventario de activos completo que destaca las vulnerabilidades conocidas, como Ripple20.

La base de conocimientos de Cyber ​​Vision se actualiza con frecuencia y está disponible de forma gratuita para todos los clientes de Cyber ​​Vision. Si aún no lo ha hecho, le recomendamos que instale la última versión hoy descargándola aquí.

Debido a la naturaleza de las vulnerabilidades de Ripple20 y los tipos de dispositivos afectados, es posible que no pueda parchear los activos vulnerables, o es posible que nunca sepa que algunos activos son vulnerables. Para mantenerte protegido, existen algunas medidas alternativas que se pueden tomar.

Cómo protegerse de inmediato

A corto plazo, puede aprovechar sus sistemas de detección de intrusos (IDS) para detectar y alertar los intentos de aprovechar estas vulnerabilidades. Cisco Cyber ​​Vision se puede configurar con el motor SNORT IDS, aprovechando las reglas desarrolladas por Cisco Talos. Cisco Industrial Security Appliance ISA3000 ofrece el mismo IDS, además de la capacidad de bloquear estos comportamientos y mucho más, todo en un factor de forma reforzado que se puede implementar junto con los dispositivos industriales que protege.

El ISA3000 también es ideal para segmentar sus redes industriales y aislar activos que no necesitan comunicarse entre sí. Esto garantizará que se pueda contener un posible ataque y que no se extienda a toda la red.

JSOF ha proporcionado muchas otras recomendaciones de corrección que también puede implementar con ISA3000. Estos incluyen la capacidad de bloquear fragmentos de IP, bloquear IP en túneles IP, rechazar paquetes TCP mal formados, bloquear mensajes ICMP no utilizados, restringir el tráfico DHCP y restringir comunicaciones y protocolos inesperados y no requeridos en el entorno.

Para obtener más información sobre cómo Cisco puede ayudarlo a proteger su red industrial, visite el centro de seguridad de IoT o comuníquese con nosotros para analizar sus desafíos de seguridad de IoT industrial.


Tecnología de Internet de las cosas

  • Incrustado
  • Sensor
  • Computación en la nube
  • Tecnología de Internet de las cosas

    1. Traslado de su sistema de control industrial a inalámbrico
    2. Una memoria más inteligente para dispositivos IoT
    3. IoT proporciona beneficios en todo el mundo
    4. Las vulnerabilidades de las aplicaciones dejan los dispositivos de IoT abiertos al ataque
    5. La creciente adopción de dispositivos IoT es el mayor riesgo de ciberseguridad
    6. 7 consejos esenciales para mantener su red de IoT en casa activa y segura
    7. ¿Su sistema está listo para IoT?
    8. Sea inteligente con su dólar de IoT
    9. IoT y su comprensión de los datos
    10. Los desafíos de las pruebas de software de los dispositivos IOT
    11. Mantenerse seguro con dispositivos inteligentes e IoT