TCP_IP.jpg

Estudo alerta sobre falhas em pilhas TCP/IP em dispositivos OT

Todas as versões do NicheStack anteriores à versão 4.3, incluindo NicheLite, são afetadas pelas vulnerabilidades
Da Redação
04/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores da Forescout divulgaram alerta sobre o INFRA: HALT, um conjunto de 14 vulnerabilidades de segurança em pilhas TCP/IP usadas comumente em infraestrutura industrial. A empresa de cibersegurança orienta as organizações que utilizam os protocolos de comunicação da internet a aplicar as atualizações.

O estudo alerta que vulnerabilidades de segurança nos protocolos de comunicação usados ​​por sistemas de controle industrial podem permitir que invasores cibernéticos adulterem ou interrompam serviços, bem como acessem dados na rede.

O conjunto de 14 vulnerabilidades de segurança foi detalhado por pesquisadores de segurança cibernética do Forescout Research Labs e do JFrog Security Research. Eles dizem que, se não forem verificadas, as falhas podem permitir a execução remota de código (RCE), negação de serviço (DoS) ou mesmo vazamento de informações.

Todas as vulnerabilidades estão relacionadas a pilhas TCP/IP — protocolos de comunicação comumente usados ​​em dispositivos conectados — no NicheStack, camada de rede IPv4 de código fechado utilizada em toda a tecnologia operacional (OT) e infraestrutura industrial.

Algumas das vulnerabilidades recém-descobertas têm mais de 20 anos, um problema comum em tecnologia operacional, que funciona com protocolos desenvolvidos há muitos anos. Mais de 200 fornecedores, incluindo a Siemens, usam as bibliotecas NicheStack e os usuários são aconselhados a aplicar os patches de segurança. Todas as versões do NicheStack anteriores à versão 4.3, incluindo NicheLite, são afetadas pelas vulnerabilidades.

O Forescout detalhou cada uma das vulnerabilidades em uma postagem em seu blog. Elas estão relacionadas a processos de pacotes malformados que permitem que um invasor envie instruções para “ler” ou “escrever” em partes da memória que não deveriam. Isso pode travar o dispositivo e interromper as redes, além de permitir que invasores criem código web shell para executar ações maliciosas, incluindo assumir o controle do dispositivo.

A divulgação das vulnerabilidades é a continuação do Projeto Memória, iniciativa de pesquisa da Forescout que examina vulnerabilidades em pilhas TCP/IP e como mitigá-las. As vulnerabilidades INFRA: HALT foram descobertas por causa da pesquisa em andamento.

Veja isso
Bug de alocação de memória em 25 sistemas operacionais de OT e IoT
Falhas em pilhas TCP/IP abrem portas para ataques a dispositivos IoT e OT

A extensão total dos dispositivos OT vulneráveis ​​é incerta, mas os pesquisadores foram capazes de identificar mais de 6.400 dispositivos vulneráveis ​​usando o Shodan, o mecanismo de busca da internet das coisas.

“Quando se está lidando com dispositivos e sistemas de tecnologia operacional, a falha é algo que pode ter várias consequências sérias. Há também possibilidades de execução remota de código, vulnerabilidades que permitiriam ao invasor assumir o controle de um dispositivo, e não apenas travar, mas faz com que ele se comporte de uma forma para a qual não foi criado ou use-o para explorar a rede”, disse Daniel dos Santos, gerente de pesquisa dos laboratórios de pesquisa Forescout ao site ZDNet.

Para execução remota de código, os invasores precisam ter conhecimento detalhado dos sistemas, mas travar o dispositivo é mais fácil e pode ter consequências significativas, especialmente se os dispositivos ajudarem a controlar ou monitorar a infraestrutura crítica.

A Forescout e a JFrog Security Research contataram a HCC Embedded para relatar as vulnerabilidades, bem como reportaram ao Centro de Estudos para Resposta e Tratamento de Incidentes (CERT) como parte do processo coordenado de divulgação de vulnerabilidades. A HCC disse ter corrigido essas vulnerabilidades e acrescentou que, se os ambientes estiverem configurados corretamente, é improvável que os invasores possam implantar código ou assumir o controle de dispositivos.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest