Ripple20: vulnerabilità in milioni di dispositivi IoT

Alcuni esperti israeliani sostengono che centinaia di milioni di dispositivi dell’internet delle Cose contengano vulnerabilità critiche, ed è un calcolo quantomeno al ribasso.

Gli esperti della compagnia israeliana JSOF hanno scoperto 19 vulnerabilità zero-day, alcune delle quali critiche, che colpiscono centinaia di milioni di dispositivi appartenenti al mondo dell’Internet delle Cose (IoT). L’aspetto peggiore di tutto ciò è che alcuni dispositivi non riceveranno mai aggiornamenti. Tutte le vulnerabilità sono state trovate nella libreria TCP/IP di Treck Inc., che l’azienda sviluppa da più di vent’anni. Il set di vulnerabilità ha preso il nome di Ripple20.

Quali sono le conseguenze?

Forse non avete mai sentito parlare di Treck o della sua libreria TCP/IP ma, dato il numero di dispositivi e vendor interessati, la vostra rete aziendale probabilmente ne include almeno uno. La libreria è presente in tutti i tipi di soluzioni per IoT, il che significa che i dispositivi vulnerabili includono articoli che vanno da stampanti per la casa e per l’ufficio ad apparecchiature industriali e mediche.

La creazione di Treck consiste in una libreria di basso livello che permette ai dispositivi di interagire con Internet. Negli ultimi 20 anni, dal rilascio della prima versione, è stata utilizzata da numerose aziende, la maggior parte delle volte è più facile prendere una libreria già pronta che svilupparne una propria. Alcune la hanno semplicemente impiegata, altre la hanno modificata per adattarla alle proprie esigenze o è stata incorporata in altre librerie.

Inoltre, durante la ricerca delle aziende colpite da Ripple20, i ricercatori hanno trovato diversi casi in cui l’acquirente originale della libreria aveva cambiato nome. In altri, era stata rilevata da un’altra azienda. In definitiva, valutare il numero effettivo di dispositivi che utilizzano questa libreria non è semplice. “Centinaia di milioni” è una stima preliminare approssimativa. Potrebbero anche essere miliardi.

Questa supply chain piuttosto complessa è anche la ragione per cui alcuni dispositivi non riceveranno mai la patch.

Quali sono le vulnerabilità e quanto sono pericolose?

Ripple20 abbraccia un totale di 19 vulnerabilità con diversi gradi di criticità. I ricercatori non hanno ancora rivelato tutti i dettagli tecnici, hanno in programma di farlo in occasione di una conferenza Black Hat a fine estate. Tuttavia, si sa già che almeno quattro delle vulnerabilità sono considerate critiche, con un punteggio CVSS superiore a 9,0.

Altre quattro vulnerabilità non presenti nell’ultima versione della libreria appaiono nelle precedenti iterazioni ancora utilizzate nei dispositivi. La libreria è stata aggiornata per motivi estranei alla sicurezza, e molti vendor hanno continuato a utilizzare versioni meno recenti.

Secondo la JSOF, alcune delle vulnerabilità consentono ai cybercriminali (che possono rimanere nascosti per anni senza essere scoperti) di prendere il controllo completo di un dispositivo e di utilizzarlo per rubare dati dalle stampanti o per modificare il comportamento del dispositivo. Due criticità consentono l’esecuzione a distanza del codice arbitrario. Un elenco delle vulnerabilità e un video demo sono disponibili sul sito web dei ricercatori.

Cosa fare?

Per le aziende che utilizzano la libreria Treck TCP/IP, i ricercatori consigliano di contattare gli sviluppatori e di aggiornare la libreria all’ultima versione. Se ciò non è possibile, meglio disattivare tutte le funzioni vulnerabili dei dispositivi.

Per quanto riguarda le aziende che utilizzano dispositivi vulnerabili nel loro lavoro quotidiano, si trovano ad affrontare un compito scoraggiante. Innanzitutto, devono determinare se le vulnerabilità sono presenti in qualsiasi dispositivo in uso. Non è così semplice come sembra e potrebbe essere necessaria l’assistenza dei centri CERT regionali o dei vendor. Inoltre, si consiglia alle aziende di:

  • Aggiornare il firmware di tutti i dispositivi (consigliato in ogni caso, indipendentemente dalle nuove vulnerabilità);
  • Ridurre al minimo l’accesso a Internet dei dispositivi IoT con criticità;
  • Separare la rete dell’ufficio dalle reti in cui vengono utilizzati tali dispositivi (consiglio: farlo a prescindere);
  • Configurare i proxy DNS per le reti con dispositivi IoT.

Per quanto ci riguarda, consigliamo di utilizzare una soluzione di sicurezza affidabile in grado di rilevare attività anomale nella rete aziendale. Ad esempio, è questo uno dei numerosi vantaggi di Kaspersky Threat Management and Defense.

Consigli