A pilha de TCP/IP vulnerável é usada por quase 200 fornecedores de dispositivos

26

Pesquisadores descobriram 14 novas vulnerabilidades que afetam a pilha de TCP/IP da Proprietária NicheStack (também conhecida como InterNiche), usada em dispositivos OT, como os extremamente populares SIEMENS S7 PLCs.

“Outros grandes fornecedores de dispositivos OT, como Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation e Schneider Electric, foram mencionados como clientes da InterNiche, a desenvolvedora original da pilha. Devido a essa popularidade em OT, a vertical da indústria mais afetada é a Manufatura”, observou Forescout .

As vulnerabilidades INFRA:HALT no NicheStack

Nos últimos dois anos, pesquisadores de várias empresas tomaram a responsabilidade de sondar a segurança de diversas pilhas de TCP/IP usadas em IoT, OT e dispositivos/sistemas incorporados, e documentar suas descobertas.

A pilha NicheStack TCP/IP foi desenvolvida pela InterNiche Technologies em 1996. Desde o seu advento foi distribuído em vários “sabores” por vários OEMs e serviu de base para outras pilhas de TCP/IP.

As 14 vulnerabilidades encontradas pelos pesquisadores da Forescout e da JFrog Security no NicheStack foram coletivamente apelidadas de INFRA:HALT e permitem a execução remota de código, negação de serviço, vazamento de informações, falsificação de TCP e envenenamento por cache DNS.

“Se essas vulnerabilidades forem exploradas, os maus atores podem assumir o controle de dispositivos de automação predial usados para controlar sistemas de iluminação, energia, segurança e incêndio, e controladores lógicos programáveis (PLCs) usados para executar linhas de montagem, máquinas e dispositivos robóticos. Isso pode interromper significativamente as operações industriais e fornecer acesso a dispositivos IoT”, explicaram os pesquisadores.

Publicações Relacionadas

“Uma vez acessada, a pilha se torna um ponto de entrada vulnerável para espalhar malware infeccioso em redes de TI.”

Remediação e mitigação

A InterNiche Technologies foi adquirida pela HCC Embedded em 2016, e são eles que os pesquisadores entraram em contato com sua descoberta.

Demorou a maior parte do ano, mas a empresa lançou patches para as versões afetadas do NicheStack (ou seja, todas as versões antes do 4.3). Os patches estão disponíveis mediante solicitação e os fornecedores de dispositivos que usam a pilha devem fornecer suas próprias atualizações aos clientes, observaram os pesquisadores.

Quantos dispositivos estão usando uma das versões de pilha vulneráveis é desconhecido, mas, de acordo com um antigo site da InterNiche, a pilha é usada por quase 200 fornecedores de dispositivos, incluindo a maioria das principais empresas de automação industrial do mundo.

O Forescout oferece um script de código aberto que os administradores corporativos podem usar para detectar dispositivos executando o NicheStack (e outras pilhas de TCP/IP vulneráveis).

Além de implementar os patches, os administradores são instados a usar a segmentação da rede para mitigar o risco de dispositivos vulneráveis e monitorar todo o tráfego de rede para pacotes maliciosos que tentam explorar vulnerabilidades conhecidas ou 0 dias.

Eles também ofereceram conselhos para melhorar a segurança dos dispositivos/sistemas que os fornecedores criam e enviam.

você pode gostar também