Cabecera-v2-web.jpg

Vulnerabilidades críticas de explotación remota, denominadas “Ripple20” en la pila TCP/IP de Treck, presente en millones de dispositivos IoT


Investigadores de seguridad han descubierto 19 vulnerabilidades en la librería de la pila TPC/IP de Treck, presente en millones de dispositivos IoT utilizados por grandes compañías!

Treck es una compañía centrada sobre todo en el desarrollo de librerías para la implementación a bajo nivel de la pila de protocolos TCP/IP, basa todo éxito en el desarrollo de frameworks para todo tipo de dispositivos IoT.

Los dispositivos afectados incluyen:

  • IPv4
  • IPv6
  • UDP
  • DNS
  • DHCP
  • TCP
  • ICMPv4
  • ARP

A estas vulnerabilidades se le ha dado el nombre de Ripple20 (ripple significa “onda” y debido a que puede afectar a toda la “supply chain” o cadena de suministro se le ha dado el nombre). Se estima que los dispositivos IoT afectados suman cientos de millones e incluye productos como dispositivos domésticos inteligentes, equipos de red eléctrica, sistemas de atención médica, equipos industriales, sistemas de transporte, impresoras, enrutadores, equipos de comunicaciones móviles/satelitales, dispositivos de centros de datos, aviones, varias soluciones empresariales y muchos otros de numerosos proveedores como HP, Intel, Schneider Electric, Caterpillar, etcétera (sólo por nombrar algunas de las más conocidas) que han vendido sus productos con dichas librerías implementadas, y otras que incluso tienen Infraestructuras Críticas (como Transporte, Energía, Hospitales, etcétera) como clientes.

La explotación exitosa de estas vulnerabilidades podrían permitir a atacantes tomar control de los dispositivos IoT afectados, que se encuentren conectados a internet, o a través de aplicaciones, bluetooth u otros medios que puede controlarlos, sin necesidad de una interacción del usuario; o ataques de denegación de servicio (DoS), o ejecución remota de código, entre otros.

Entre los fallos encontrados, se ha clasificado la severidad de los riesgos asociados a cada uno como se describe a continuación:

Treck, ha publicado un aviso de seguridad sobre las vulnerabilidades encontradas y en este artículo detallamos las más resaltantes:

Fallos de riesgo crítico:

El CVE-2020-11896, afecta a las versiones de Treck TCP/IP stack anteriores a la 6.0.11.66 y se da debido a un manejo inapropiado del parámetro “length” en el componente IPv4/UDP. La explotación exitosa podría permitir a un atacante la ejecución remota de código.

El CVE-2020-11897, que afecta a las versiones anteriores a 5.0.1.35 de Treck TCP/IP Stack. Se da debido a un manejo inapropiado del parámetro length en el componente IPv4/ICMPv4, llevando a un fallo out-of-bounds read. La explotación exitosa de estas vulnerabilidades permitiría la filtración de información confidencial.

El CVE-2020-11898, afecta a versiones anteriores a 6.0.1.66 de Treck TCP/IP stack, y se da debido a un manejo inapropiado del parámetro length en el componente IPv6, llevando a un fallo out-of-bounds write. La explotación exitosa de esta vulnerabilidad llevaría a una denegación de servicios (DoS)

El CVE-2020-11901, afecta a las versiones anteriores a 6.0.1.66 de Treck TCP/IP stack y se da debido a una validación errónea de la entrada de datos en el componente DNS Resolver durante el procesamiento de paquetes. La explotación exitosa de esta vulnerabilidad permitiría a un atacante la ejecución remota de código.

Fallos de alto riesgo:

Por otro lado, el CVE-2020-11900 afecta a las versiones 6.0.1.66 y anteriores. El fallo se da durante el procesamiento de paquetes de datos en el componente IPv4 Tunneling, llevando a una vulnerabilidad de corrupción de memoria. La explotación exitosa permitiría a un atacante la ejecución de código.

El CVE-2020-11902, afecta a las versiones anteriores a 6.0.1.66 de Treck TCP/IP. Se da debido a una validación errónea de la entrada de datos en el componente IPv6 over IPv4, llevando a una vulnerabilidad de out-of-bounds read. La explotación exitosa permitiría realizar un ataque de denegación de servicios (DoS).

El CVE-2020-11904, afecta a las versiones anteriores a 6.0.1.66 de Treck TCP/IP y se da debido a un desbordamiento de enteros durante la asignación de la memoria, llevando a un fallo out-of-bounds write. La explotación exitosa de esta vulnerabilidad podría llevar a una denegación de servicios (DoS) o la ejecución remota de código.

La explotación exitosa de las vulnerabilidades de riesgo medio, entre las que se incluyen fallos de out-of-bounds read, integer overflow, manejo inapropiado del parámetro length y otros; podría permitir a un atacante realizar ataques de Denegación de Servicios (DoS), o filtración de información confidencial, ejecución remota de código y otros.

Además, muchos otros proveedores afectados por la vulnerabilidad reportada, han lanzado avisos de seguridad sobre sus productos afectados.

Recomendaciones:

La compañía Treck, informó en su sitio web oficial que ha desarrollado parches para cada una de las vulnerabilidades, sin embargo solicita a los interesados en los mismos contactar al correo: security@treck.com.

  • Una vez obtenido los parches de seguridad, actualice Treck TCP/IP stack en los productos afectados a la última version estable (6.0.1.67 o posteriores),
  • Medidas adicionales de mitigación o prevención:
    • Revisar las configuraciones de los dispositivos del sistema de control y disminuir la exposición de estos a la red, asegurando que no pueden ser accedidos a través de internet.
    • En caso de utilizar acceso remoto, hacer uso de métodos seguros como VPNs (Virtual Private Networks).
    • Los CVE-2020-11896 y CVE-2020-11907, se pueden mitigar con la inspección de los fragmentos de IP y rechazando el tráfico anómalo.
    • Los CVE-2020-11897 y CVE-2020-11909, pueden mitigarse bloqueando los enrutamientos de origen IP, incluyendo el enrutamiento de origen IPv6.
    • Los CVE-2020-11913 y CVE-2020-1191 pueden ser mitigados asegurándose de utilizar solamente dispositivos Ethernet confiables, con drivers de protección que rechacen Ethernet frames maliciosos.
    • Ubicar las redes sistemas de control y dispositivos remotos con firewalls y aislarlos de la red empresarial, siempre que sea posible.
    • Para los CVE-2020-11898, CVE-2020-11900 y CVE-2020-11902, deshabilitar o bloquear IP-in-IP tunneling, en caso de no utilizarlo.
    • El CVE-2020-11901 puede ser mitigado mediante la normalización de las respuestas DNS a través de la inspección profunda de paquetes DNS o por un servidor de recursión DNS seguro.
    • Utilizar un servidor DNS interno utilice DNS-over-HTTPS para las búsquedas.
    • Los CVE‑2020‑11903 y CVE‑2020‑11905, se pueden mitigar deshabilitando los clientes DHCP y DHCPv6, asegurando que la opción DHCP Relay se encuentre desactivada.
    • Los CVE-2020-11910 y CVE-2020-11911 se pueden mitigar bloqueando los mensajes ICMP no necesarios en el entorno de red, como: ICMPv4 Type 3, ICMP Type 18, entre otros.
    • El CVE-2020-11912 se puede mitigar configurando dispositivos firewall o NAT que inspeccionen TCP SACK y TCP timestamp en búsqueda de paquetes maliciosos.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11