Los investigadores encuentran una falla de seguridad irreparable que afecta a millones de dispositivos domésticos inteligentes

Un nuevo documento técnico de investigadores de la empresa de seguridad empresarial Forescout ha descubierto una vulnerabilidad que podría afectar a millones de dispositivos conectados.

El problema se debe a vulnerabilidades de día cero en cuatro bibliotecas de código TCP / IP de código abierto ampliamente utilizadas.

Amnesia: 33 puede ser difícil de olvidar

El equipo detrás del documento técnico ha denominado esta vulnerabilidad como Amnesia: 33 y describe cada problema en detalle en un documento técnico disponible en Forescout [PDF] .

Forescout estima que la falla de seguridad afecta a más de 150 proveedores de dispositivos conectados en todo el mundo. Potencialmente, millones de dispositivos son vulnerables, desde dispositivos domésticos inteligentes hasta dispositivos de Internet de las cosas (IoT) utilizados en entornos industriales.

La vulnerabilidad tiene algunas formas potenciales de afectar una variedad de dispositivos, como se describe en el documento técnico:

• Ejecución de código remoto (RCE) para tomar el control de un dispositivo de destino
• Denegación de servicio (DoS) para afectar la funcionalidad y afectar las operaciones comerciales
• Fuga de información (Infoleak) para adquirir información potencialmente sensible
• Envenenamiento de la caché de DNS para dirigir un dispositivo a un sitio web malicioso

Cualquiera de estos patrones de ataque podría causar estragos en un sistema, y ​​reparar el agujero no será una tarea fácil.

Riesgos y consecuencias de amplio alcance

Esto está lejos de ser la primera vez que los sistemas conectados han mostrado fallas, y algunos incluso se preguntan si dispositivos como Ring podrían hacer que su casa sea menos segura que los dispositivos de seguridad tradicionales fuera de línea. Si bien hasta ahora no hay ataques documentados como resultado de esta vulnerabilidad, el equipo de Forescout ha descrito algunos escenarios de ataque creíbles.

La pila de red utilizada está presente en una gran cantidad de dispositivos conectados, incluidos enchufes inteligentes y monitores de temperatura, lo que podría afectar a los usuarios domésticos, pero tendría consecuencias mucho más graves en los espacios públicos.

En un entorno de atención médica, por ejemplo, un atacante podría obtener acceso a la red y causar estragos, lo que podría afectar el sistema de temperatura, las cerraduras conectadas o activar falsas alarmas de incendio. En un entorno minorista, los sensores de temperatura conectados son un punto frecuente de debilidad, y una vez en la red, un pirata informático podría desconectar toda la tienda, algo que haría que muchas tiendas no pudieran completar transacciones o monitorear el stock.

Por supuesto, estos son los peores escenarios, pero como ocurre con todos los documentos técnicos de seguridad: si Forescout pensó en ello, probablemente alguien con intenciones maliciosas también lo haya hecho.

¿Por qué no se puede arreglar esto?

Las bibliotecas de códigos en el centro de Amnesia: 33 son los bloques de construcción fundamentales de muchos dispositivos en red. Todos son de código abierto, lo que significa que están disponibles gratuitamente para que los utilicen o modifiquen los desarrolladores.

Incluso si todas estas bibliotecas de código se actualizan, la naturaleza del uso de código disponible gratuitamente da como resultado bibliotecas remezcladas, implementaciones únicas y grandes áreas de bases de código con código potencialmente malicioso.

En esta etapa, la única forma de solucionar este problema es que las empresas asuman la responsabilidad individual y evalúen sus implementaciones de software, hasta el último detalle.

Incluso si la mayoría de los proveedores se lo toman en serio, dudo que esto sea lo último que oiremos de Amnesia: 33.