O laboratório de pesquisa JSOF Research descobriu vulnerabilidades zero-day no acervo Treck TCP/IP, que é amplamente utilizada em dispositivos incorporados e IoT.
Ripple20, uma série de 19 vulnerabilidades, sendo 4 delas críticas, afeta centenas de milhões de dispositivos de IoT e de controle industrial. O ponto de partida dessas falhas é uma biblioteca de suítes de protocolo TCP/IP, incorporada pela empresa Treck, inc. É um elemento básico para qualquer dispositivo que funcione em uma rede. Trek TCP/IP é projetada para dispositivos conectados e sistemas operacionais de tempo real, de alto desempenho, escalável e configurável para fácil integração em qualquer ambiente, independentemente do processador.
O “efeito cascata” e nocivo dessas vulnerabilidades acontece devido ao fator da cadeia de suprimentos. Um único componente comprometido, embora possa até parecer pequeno, impacta uma ampla gama de indústrias, aplicações, empresas e pessoas. “Ripple20” foi o nome escolhido justamente pela propagação como ondas ou “efeito cascata”, e 20 por ter sido descoberta neste ano, 2020.
Os pesquisadores, ao rastrearem a trilha de distribuição da biblioteca TCP/IP da Treck, descobriram que nas duas últimas décadas esse software básico de rede tem se espalhado pelo mundo, através de uso direto e indireto. A complexidade da cadeia de suprimentos, como vetor de disseminação, fornece o canal perfeito, possibilitando que a falha original se infiltre e se camufle quase que por inteiro.
Dentre os fabricantes que utilizam a Treck estão gigantes como HP, Intel, Caterpillar, e ainda muitos fornecedores internacionais de equipamentos médicos, controle industrial, empresas de energia e de telecomunicações, todos suspeitos de estarem vulneráveis.
A maioria das vulnerabilidades são verdadeiros zero-day, com quatro delas sendo fechadas ao longo dos anos como parte de mudanças rotineiras de código, mas que permanecem abertas em alguns dos dispositivos afetados. Muitas das vulnerabilidades têm diversas variantes devido à configurabilidade do stack e às mudanças de código ao longo dos anos.
De acordo com o JSOF, das 19 vulnerabilidades:
4 são críticas de execução de código remoto com CVSS ≥ 9
4 são maiores com um CVSS ≥ 7
11 variam de gravidade.
A exploração bem-sucedida pode levar a resultados devastadores, como a execução remota de dispositivos e o movimento lateral dentro da rede comprometida, e ataques de transmissão que podem assumir todos os dispositivos impactados na rede simultaneamente. Dados podem ser roubados de uma impressora, dispositivos médicos e até controles industriais podem ser invadidos, comandados ou adulterados. Um invasor pode ocultar códigos maliciosos em dispositivos que estão conectados e incorporados há anos, e entrando através de apenas uma falha pode trazer consequências inimagináveis a uma rede inteira.
A Treck emitiu um patch para uso por OEMs na versão mais recente do Treck stack. O desafio é que as empresas o implementem. Além dos avisos do ICS CERT, CERTCC e JPCERT/CC, a Intel e a HP também emitiram alertas. A melhor resposta pode ser instalar o patch original, mas nem sempre é possível. Os CERTs trabalham para desenvolver abordagens alternativas que possam ser usadas para minimizar ou eliminar efetivamente o risco.
Referência: https://threatpost.com/millions-connected-devices-ripple20-bugs/156599/
