In questo nostro nuovo aggiornamento parliamo di dispositivi vulnerabili alla Ripple20, un tema discusso globalmente dal momento della divulgazione di questa vulnerabilità.
Ripple20 è una “collezione” di 19 vulnerabilità zero-day individuate quest’anno in una piccola software library progettata negli Anni ‘90 da Treck, un’azienda americana di Cincinnati, che aveva sviluppato questo stack TCP/IP, ampiamente utilizzato negli ultimi 20 anni.
In poche parole, un aggressore potrebbe sfruttare queste vulnerabilità per ottenere il controllo completo di un dispositivo mirato a distanza, senza che sia necessaria alcuna interazione da parte dell’utente. Ma vediamo come.
Forescout Research Labs insieme a JSOF utilizzando i dati dell’ esclusivo Device Cloud di Forescout, nostro partner, ha fatto emergere una knowledge base di oltre 12 milioni di dispositivi, al fine di identificare dozzine di fornitori potenzialmente interessati.
Forescout ha condotto un’analisi di dati su oltre 90.000 dispositivi potenzialmente vulnerabili, di oltre 50 fornitori che annoverano Treck nei loro prodotti IoT e OT. Esempi di dispositivi interessati all’attacco includono pompe per infusione di farmaci utilizzate negli ospedali, sistemi UPS (gruppi di continuità) utilizzati nei data center e sistemi di videoconferenza utilizzati nelle imprese, ecc.
Ripple20 e il ruolo di Forescout
Durante il processo di scoperta e divulgazione della vulnerabilità ai maggiori vendors, JSOF ha deciso di farsi aiutare da Forescout Research Labs per identificare i fornitori e i dispositivi più interessati.
Questo approccio innovativo alla divulgazione delle vulnerabilità, che coinvolge un altro fornitore di sicurezza informatica per identificare i dispositivi vulnerabili, è stato necessario perché Treck è un componente di connettività di base utilizzato da una vasta gamma di dispositivi, in molti modi diversi. Ad esempio, lo stack può essere utilizzato con o senza un sistema operativo in tempo reale, è altamente configurabile ed è concesso in licenza con nomi diversi. Quindi è comprensibile quanto esso possa essere vasto e diffuso.
Il problema fondamentale è che nel mondo IoT, non esiste una chiara evidenza che consenta agli utenti e alle organizzazioni di conoscere i componenti che fanno parte dei dispositivi che utilizzano. Questo rende le cose ancora più complesse.
Inoltre, la supply chain (o catena di approvvigionamento – link all’art) dei dispositivi IoT può essere molto lunga. Tra un componente software come Treck e un dispositivo usato dall’utente finale, può esserci una rete contorta di ODM, OEM, integratori di sistema e prodotti white label.
Sebbene Treck abbia contattato i suoi clienti prontamente, c’è ancora una lunga coda di fornitori e dispositivi potenzialmente interessati da identificare (clienti di clienti di Treck e così via).
Forescout Research Labs ha utilizzato il Device Cloud di Forescout, un data lake unico con informazioni provenienti da oltre 12 milioni di dispositivi classificati in più di 150 tipi, per tutti i device e fornitori potenzialmente interessati.
Quali sono i dispositivi più interessati dalla Ripple20
Per individuare i dispositivi interessati dalla Ripple20, il team IT ha utilizzato una combinazione di firme di rete fornite da JSOF basate su impronte digitali DHCP e TCP / IP e post-elaborazione per eliminare potenziali falsi positivi.
In questo modo sono riusciti a risalire sia ai vari settori dove lo stack viene utilizzato sia alla quantità approssimativa: al primo posto c’è il Servizio Sanitario con oltre 50mila device, a seguire il mondo Retail con oltre 8mila, poi manifattura, uffici governativi, finanza e via dicendo.
I tipi di dispositivi più comuni che includono Treck sono pompe per infusione di farmaci, stampanti, sistemi UPS, apparecchiature di rete, dispositivi per punti vendita, telecamere IP, router, sistemi di videoconferenza, dispositivi di automazione degli edifici e dispositivi ICS, ecc. Davvero un quantitativo significativo.
Impatto ed esposizione
Per sfruttare le vulnerabilità di Ripple20, un utente malintenzionato necessita di una connessione diretta a un dispositivo interessato o di un percorso indirizzato alle reti interne. Ciò significa che i dispositivi collegati direttamente a Internet sono quelli più a rischio. Un utente malintenzionato potrebbe prima prendere di mira questi dispositivi, comprometterli e spostarsi lateralmente all’interno della rete per accedere o infettare altri dispositivi ad esso connessi.
Prendiamo come esempio dell’impatto di queste vulnerabilità una serie di Shodan (il motore di ricerca dedicato alle IoT). 37 modelli di dispositivi specifici, rivenduti da 18 fornitori (comprese stampanti, telecamere IP e sistemi di videoconferenza, apparecchiature di rete e dispositivi ICS) rivela che ci sono circa 15.000 di questi dispositivi interessati che potrebbero essere potenzialmente compromessi direttamente da chiunque su Internet.
Un impatto globale se si pensa che dagli Stati Uniti all’Australia i device di questo tipo sono migliaia. Un numero di soluzioni hardware e software inimmaginabile, dunque, se vengono sommati a tutti gli altri sopra citati.
Il rischio è che oramai i prodotti in circolazione che utilizzano questa libreria siano talmente tanti e le Supply Chain a loro connessi così complesse che sarà praticamente impossibile pensare di patchare tutte queste vulnerabilità in tempi rapidi.
Un effetto domino davvero incredibile che mette a rischio tantissimi device all’insaputa di chi li utilizza.
La sicurezza informatica è una materia molto vasta, che va a scovare problemi di domani, di oggi e purtroppo anche di ieri.
Affidarsi a professionisti esperti è l’unica soluzione per evitare rischi e compromissioni irrisolvibili.
Se necessiti una consulenza con il nostro team IT clicca qui.