Identificação e Proteção de Dispositivos Vulneráveis ao RIPPLE20

Identificação e Proteção de Dispositivos Vulneráveis ao RIPPLE20

Fernando Karl – Diretor de Operações em Segurança Cibernética

RIPPLE20. O que é?

Um conjunto de 19 vulnerabilidades identificadas em uma biblioteca de TCP/IP vendida pela empresa Treck e utilizada por centenas de milhões de dispositivos de dezenas de fabricantes. Dentre o conjunto de vulnerabilidades existem algumas classificadas como críticas, podendo ser exploradas de forma remota que permitem ou controle remoto de dispositivos sem necessidade de usuário ou a obtenção de dados sensíveis armazenados nos dispositivos.

Quais dispositivos são afetados?

Não existe uma base centralizada de cadeia de suprimentos que possa mapear a presença deste componente. A Forescout identificou cerca de 90.000 diferentes dispositivos através de uma base de assinaturas e os tipos variam desde equipamentos de rede, câmeras IP, no-break, geradores, impressoras, dispositivos de medicina, biblioteca de fitas de backup, storages, lâmpadas inteligentes, caixas de som, equipamentos de manufatura, etc. A lista de fabricantes afetados não é definitiva, mas inclui HP, Intel, Rockwell e está sob análise.

Como identificar?

A Service IT Security está auxiliando os seus clientes a primeiramente realizar um mapeamento dos dispositivos de rede através de três passos:

  1. Execução de uma varredura interna e externa com o Qualys Asset View
  2. Mapeamento da infraestrutura externa com fontes de Threat Intelligence
  3. Caso seja necessário, executar uma varredura de análise de vulnerabilidades com o Qualys Vulnerability Management

Tenho como mitigar?

Sim, existem medidas na rede que podem mitigar os ataques. A Service IT Security pode auxiliar os clientes a executar mudanças na rede para:

  1. Remover quaisquer dispositivos como IoT de acesso externo, minimizando a possibilidade de acessos indevidos.
  2. Segregar redes de automação e dispositivos IoT do resto da rede.
  3. Ativar inspeção de pacotes, bloqueando pacotes fragmentados e mau formados na rede.
  4. Desativar qualquer tunelamento de IPv4 e IPv6, se não necessário.
  5. Implantar um serviço DNS seguro para rede interna.
  6. Somente permitir acesso remoto através de métodos seguros.

E temos como aplicar patches?

Como vários fabricantes estão analisando o conjunto de vulnerabilidades, então não se tem uma lista final de produtos afetados e patches disponíveis para tais. Em cada produto/equipamento se deverá ter um tipo de patch ou forma de correção a ser aplicada conforme for publicado pelo fabricante.