Vulnerabilidades TCP/IP ameaçam dispositivos IoT

Anote aí: a Forescout acaba de divulgar a existência de um conjunto de vulnerabilidades TCP / IP no FreeBSD e outros três sistemas operacionais projetados para a IoT: o Nucleus NET, IPNet e NetX. São, ao todo, nove vulnerabilidades que podem afetar potencialmente 100 milhões de dispositivos IoT.

Os pesquisadores em segurança da Forescout estão chamando essas vulnerabilidades de “NAME: WRECK”, pela forma como afetam o protocolo do Sistema de Nomes de Domínio (DNS). O nome vem do fato de que a análise de nomes de domínio pode quebrar (ou seja, “destruir”) implementações de DNS no TCP / IP.

Segundo os pesquisadores da Forescout, elas estão associadas à maneira como os protocolos DNS são executados, e podem abrir caminho para ataques do tipo Denial of Service (DoS) ou permitir execução remota de código. Com isso, potenciais invasores podem causar a paralisação ou assumir o controle dos sistemas-alvo.

Vale lembrar que o DNS é um protocolo complexo que tende a gerar implementações vulneráveis, e essas vulnerabilidades podem frequentemente ser aproveitadas por invasores externos para assumir o controle de milhões de dispositivos simultaneamente.

Especificamente, o relatório oferece um olhar mais atento sobre o esquema de “compressão de mensagem” usado no protocolo DNS que “elimina a repetição de nomes de domínio em uma mensagem” com a intenção de reduzir o tamanho das mensagens.

Segundo a Forescout, os setores de saúde e governamental estão entre os mais afetados considerando as pilhas FreeBSD, Nucleus NET and NetX. Apenas nesse grupo e assumindo de forma conservadora que apenas 1% das mais de 10 bilhões de implantações estão vulneráveis, a Forescout estima que, pelo menos 100 milhões de dispositivos foram afetados pelas vulnerabilidades NAME: WRECK.

Proteger-se contra NAME: WRECK requer a instalação de patches nos dispositivos que utilizam as versões vulneráveis das quatro pilhas TCP/IP. A Forescout destaca que todas foram recentemente corrigidas e que os respectivos fornecedores de equipamentos usuários das pilhas também devem fornecer suas próprias atualizações.

Com exceção do IPnet, já foram lançados patches para FreeBSD, Nucleus NET e NetX, exigindo que os fornecedores enviem firmware atualizados para seus clientes.

No entanto, instalar patches nem sempre é possível, por exemplo, quando dispositivos IoT estão instalados em locais de difícil acesso. Nesses caso, a Forescout sugere adotar medidas de mitigação. O primeiro passo é identificar quais dispositivos usam as pilhas vulneráveis. A própria Forescout liberou um script de código aberto que detecta tais dispositivos. Em seguida, impor controles de segmentação para mitigar riscos e restringir as rotas de comunicação externa ou, se possível, isolar os dispositivos vulneráveis até que possam ser corrigidos com patches. Outra medida é configurar os dispositivos vulneráveis para que confiem apenas em servidores DNS internos sempre que possível e monitorar de perto o tráfego DNS externo, uma vez que potenciais invasões vão depender de um servidor DNS mal-intencionado. E, por fim, monitorar o tráfego de rede em busca de pacotes tentando explorar as vulnerabilidades divulgadas.

Não se descarta a possibilidade de que procedimentos semelhantes ao usado pelo NAME: WRECK possam ser adotados para qualquer outra pilha TCP / IP que ainda não foi analisada. Os pesquisadores ainda não encontraram evidências de que invasores estejam explorando ativamente essas vulnerabilidades.

NOME: WRECK é o terceiro relatório do PROJECT: MEMORIA lançado em 2020 pela Forescout para identificar vulnerabilidades em pilhas TCP/IP. As versões anteriores foram chamadas de AMNESIA: 33 e NUMBER: JACK.

O ponto positivo nas descobertas é que há atenuações que tornam mais fácil detectar tentativas de uso dessas falhas.

A Forescout lançou um script de código aberto para detectar dispositivos que executam as pilhas afetadas. Além disso, os pesquisadores também recomendam impor controles de segmentação de rede até que os patches estejam em vigor e monitorar todo o tráfego de rede em busca de pacotes maliciosos que tentem explorar as falhas visando clientes DNS, mDNS e DHCP.