Vulnerabilidades críticas de explotación remota, denominadas “Ripple20” en la pila TCP/IP de Treck, presente en millones de dispositivos IoT

Investigadores de seguridad han descubierto 19 vulnerabilidades en la librería de la pila TPC/IP de Treck, presente en millones de dispositivos IoT utilizados por grandes compañías!

Treck es una compañía centrada sobre todo en el desarrollo de librerías para la implementación a bajo nivel de la pila de protocolos TCP/IP, basa todo éxito en el desarrollo de frameworks para todo tipo de dispositivos IoT.

Los dispositivos afectados incluyen:

• IPv4
• IPv6
• UDP
• DNS
• DHCP
• TCP
• ICMPv4
• ARP

A estas vulnerabilidades se le ha dado el nombre de Ripple20 (ripple significa “onda” y debido a que puede afectar a toda la “supply chain” o cadena de suministro se le ha dado el nombre). Se estima que los dispositivos IoT afectados suman cientos de millones e incluye productos como dispositivos domésticos inteligentes, equipos de red eléctrica, sistemas de atención médica, equipos industriales, sistemas de transporte, impresoras, enrutadores, equipos de comunicaciones móviles/satelitales, dispositivos de centros de datos, aviones, varias soluciones empresariales y muchos otros de numerosos proveedores como HP, Intel, Schneider Electric, Caterpillar, etcétera (sólo por nombrar algunas de las más conocidas) que han vendido sus productos con dichas librerías implementadas, y otras que incluso tienen Infraestructuras Críticas (como Transporte, Energía, Hospitales, etcétera) como clientes.

La explotación exitosa de estas vulnerabilidades podrían permitir a atacantes tomar control de los dispositivos IoT afectados, que se encuentren conectados a internet, o a través de aplicaciones, bluetooth u otros medios que puede controlarlos, sin necesidad de una interacción del usuario; o ataques de denegación de servicio (DoS), o ejecución remota de código, entre otros.

Entre los fallos encontrados, se ha clasificado la severidad de los riesgos asociados a cada uno como se describe a continuación:

• 4 de riesgo crítico identificados como:
  • CVE-2020-11896,
  • CVE-2020-11897,
  • CVE-2020-11898,
  • CVE-2020-11901.
• 3 de alto riesgo, identificados como:
  • CVE-2020-11900,
  • CVE-2020-11902,
  • CVE-2020-11904.
• 12 de riesgo medio, identificados como:
  • CVE-2020-11899,
  • CVE-2020-11903,
  • CVE-2020-11905,
  • CVE-2020-11906,
  • CVE-2020-11907,
  • CVE-2020-11908,
  • CVE-2020-11909,
  • CVE-2020-11910,
  • CVE-2020-11911,
  • CVE-2020-11912,
  • CVE-2020-11913,
  • CVE-2020-11914.

Treck, ha publicado un aviso de seguridad sobre las vulnerabilidades encontradas y en este artículo detallamos las más resaltantes:

Fallos de riesgo crítico:

El CVE-2020-11896, afecta a las versiones de Treck TCP/IP stack anteriores a la 6.0.11.66 y se da debido a un manejo inapropiado del parámetro “length” en el componente IPv4/UDP. La explotación exitosa podría permitir a un atacante la ejecución remota de código.

El CVE-2020-11897, que afecta a las versiones anteriores a 5.0.1.35 de Treck TCP/IP Stack. Se da debido a un manejo inapropiado del parámetro length en el componente IPv4/ICMPv4, llevando a un fallo out-of-bounds read. La explotación exitosa de estas vulnerabilidades permitiría la filtración de información confidencial.

El CVE-2020-11898, afecta a versiones anteriores a 6.0.1.66 de Treck TCP/IP stack, y se da debido a un manejo inapropiado del parámetro length en el componente IPv6, llevando a un fallo out-of-bounds write. La explotación exitosa de esta vulnerabilidad llevaría a una denegación de servicios (DoS)

El CVE-2020-11901, afecta a las versiones anteriores a 6.0.1.66 de Treck TCP/IP stack y se da debido a una validación errónea de la entrada de datos en el componente DNS Resolver durante el procesamiento de paquetes. La explotación exitosa de esta vulnerabilidad permitiría a un atacante la ejecución remota de código.

Fallos de alto riesgo:

Por otro lado, el CVE-2020-11900 afecta a las versiones 6.0.1.66 y anteriores. El fallo se da durante el procesamiento de paquetes de datos en el componente IPv4 Tunneling, llevando a una vulnerabilidad de corrupción de memoria. La explotación exitosa permitiría a un atacante la ejecución de código.

El CVE-2020-11902, afecta a las versiones anteriores a 6.0.1.66 de Treck TCP/IP. Se da debido a una validación errónea de la entrada de datos en el componente IPv6 over IPv4, llevando a una vulnerabilidad de out-of-bounds read. La explotación exitosa permitiría realizar un ataque de denegación de servicios (DoS).

El CVE-2020-11904, afecta a las versiones anteriores a 6.0.1.66 de Treck TCP/IP y se da debido a un desbordamiento de enteros durante la asignación de la memoria, llevando a un fallo out-of-bounds write. La explotación exitosa de esta vulnerabilidad podría llevar a una denegación de servicios (DoS) o la ejecución remota de código.

La explotación exitosa de las vulnerabilidades de riesgo medio, entre las que se incluyen fallos de out-of-bounds read, integer overflow, manejo inapropiado del parámetro length y otros; podría permitir a un atacante realizar ataques de Denegación de Servicios (DoS), o filtración de información confidencial, ejecución remota de código y otros.

Además, muchos otros proveedores afectados por la vulnerabilidad reportada, han lanzado avisos de seguridad sobre sus productos afectados.

Recomendaciones:

La compañía Treck, informó en su sitio web oficial que ha desarrollado parches para cada una de las vulnerabilidades, sin embargo solicita a los interesados en los mismos contactar al correo: security@treck.com.

• Una vez obtenido los parches de seguridad, actualice Treck TCP/IP stack en los productos afectados a la última version estable (6.0.1.67 o posteriores),
• Medidas adicionales de mitigación o prevención:
  • Revisar las configuraciones de los dispositivos del sistema de control y disminuir la exposición de estos a la red, asegurando que no pueden ser accedidos a través de internet.
  • En caso de utilizar acceso remoto, hacer uso de métodos seguros como VPNs (Virtual Private Networks).
  • Los CVE-2020-11896 y CVE-2020-11907, se pueden mitigar con la inspección de los fragmentos de IP y rechazando el tráfico anómalo.
  • Los CVE-2020-11897 y CVE-2020-11909, pueden mitigarse bloqueando los enrutamientos de origen IP, incluyendo el enrutamiento de origen IPv6.
  • Los CVE-2020-11913 y CVE-2020-1191 pueden ser mitigados asegurándose de utilizar solamente dispositivos Ethernet confiables, con drivers de protección que rechacen Ethernet frames maliciosos.
  • Ubicar las redes sistemas de control y dispositivos remotos con firewalls y aislarlos de la red empresarial, siempre que sea posible.
  • Para los CVE-2020-11898, CVE-2020-11900 y CVE-2020-11902, deshabilitar o bloquear IP-in-IP tunneling, en caso de no utilizarlo.
  • El CVE-2020-11901 puede ser mitigado mediante la normalización de las respuestas DNS a través de la inspección profunda de paquetes DNS o por un servidor de recursión DNS seguro.
  • Utilizar un servidor DNS interno utilice DNS-over-HTTPS para las búsquedas.
  • Los CVE‑2020‑11903 y CVE‑2020‑11905, se pueden mitigar deshabilitando los clientes DHCP y DHCPv6, asegurando que la opción DHCP Relay se encuentre desactivada.
  • Los CVE-2020-11910 y CVE-2020-11911 se pueden mitigar bloqueando los mensajes ICMP no necesarios en el entorno de red, como: ICMPv4 Type 3, ICMP Type 18, entre otros.
  • El CVE-2020-11912 se puede mitigar configurando dispositivos firewall o NAT que inspeccionen TCP SACK y TCP timestamp en búsqueda de paquetes maliciosos.

Referencias:

• https://treck.com/vulnerability-response-information/
• https://www.us-cert.gov/ics/advisories/icsa-20-168-01
• https://thehackernews.com/2020/06/new-critical-flaws-put-billions-of.html
• https://unaaldia.hispasec.com/2020/06/ripple20-19-vulnerabilidades-0-day-que-afectan-a-millones-de-dispositivos-iot.html
• https://www.elladodelmal.com/2020/06/ripple20-serios-fallos-de-seguridad-en.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+ElLadoDelMal+(Un+inform%C3%A1tico+en+el+lado+del+mal)&m=1