skip to Main Content

Cybersecurity, la scoperta di NAME:WRECK fa riemergere i problemi sulle patch per IoT

di Pierguido Iezzi

NAME:WRECK è il pacchetto di nove vulnerabilità per IoT, scoperto da Forescout e JSOF. Coinvolti oltre 100 milioni di dispositivi

Alcuni ricercatori di cybersecurity hanno scoperto nove vulnerabilità riguardanti quattro suite di protocolli TCP/IP (e in totale 100 milioni di dispositivi privati e aziendali) che potrebbero essere sfruttate da eventuali aggressori per prendere il controllo della macchina o del sistema coinvolto. Denominate “NAME:WRECK” da Forescout e JSOF, sono le ultime arrivate in corrispondenza di una serie di studi condotti nel corso dell’iniziativa chiamata Project Memoria. L’obiettivo è rilevare e quantificare il livello di sicurezza di suite TCP/IP di ampio utilizzo, che sono usate da vari fornitori di servizi nei loro firmware per offrire funzionalità di connettività a internet o altre reti. Le falle sono legate alle implementazioni del Domain Name System (DNS) e aprono la porta a possibili offensive Denial of Service (DoS) o Remote Code Execution (RCE), permettendo agli aggressori di disconnettere gli obiettivi e/o prenderne il controllo totale (da quanto è emerso dalla ricerca). Il nome deriva dal fatto che il parsing (ovvero l’analisi) dei nomi di dominio può rompere (o demolire, riprendendo il nome delle vulnerabilità) le implementazioni del DNS nelle suite TCP/IP, aggiungendosi così a un recente aumento di vulnerabilità come SigRed, SAD DNS, e DNSpooq che sfruttano proprio “le Pagine Gialle della rete internet” come vettore d’attacco.

Un aggressore potrebbe sfruttare le falle per addentrarsi nella rete informatica di un’organizzazione, attraverso un dispositivo IoT che emette una richiesta DNS a un server

Con la scoperta di NAME:WRECK si registra il quinto caso in cui sono state identificate delle vulnerabilità dal lato cybersecurity nelle suite di protocollo su cui è fondato il funzionamento di milioni di dispositivi connessi a Internet (IoT). Nello specifico, l’ultima ricerca getta luce su uno degli schemi di “compressione del messaggio” usato nel protocollo DNS che elimina la ripetizione dei nomi dominio all’interno di un messaggio, con l’obiettivo di ridurre le dimensioni e il peso dei messaggi stessi, scoprendo così numerose vulnerabilità simili nelle suite FreeBSD (12.1), IPnet (VxWorks 6.6), Nucleus NET (4.3) e NetX (6.0.1). In uno scenario realistico, un aggressore potrebbe sfruttare queste falle per addentrarsi nella rete informatica di un’organizzazione, attraverso un dispositivo connesso a Internet che emette una richiesta DNS a un server, al fine di esfiltrare informazioni sensibili o anche usarli come punto d’appoggio per successivi atti volti a sabotare attrezzatura critica.

La scoperta rimette in luce il problema delle patch in ambito IoT

Con l’eccezione di IPnet, FreeBSD, Nucleus NET e NetX hanno rilasciato le patch per NAME:WRECK, richiedendo alle aziende che utilizzano versioni vulnerabili del software di rendere disponibile un firmware aggiornato a tutti i loro clienti. Ma, come nel caso delle vulnerabilità precedenti, ci sono diversi ostacoli verso l’applicazione delle patch, come ad esempio la mancanza di informazioni riguardo alla suite TCP/IP presente su un dato dispositivo, la difficoltà nell’installare le patch perché i dispositivi non sono a gestione centralizzata o non possono essere disconnessi visto il loro ruolo cruciale in processi mission-critical in settori come quello sanitario o industriale. In altri termini, oltre allo sforzo richiesto per identificare tutti i dispositivi IoT vulnerabili, servirebbe molto tempo prima che le patch di sicurezza passino dagli intermediari fino al firmware del dispositivo target. E l’aspetto peggiore è che, in alcuni casi, non potrebbe essere nemmeno fattibile la loro implementazione, lasciando così dispositivi vulnerabili per anni fino al momento in cui non verranno “messi in pensione”.

Strategie di mitigazione

Anche se non sembra esserci una soluzione rapida in vista, l’aspetto positivo è che ci sono diverse strategie di mitigazione che rendono più semplice il rilevamento di eventuali tentativi volti a sfruttare queste vulnerabilità. Per iniziare, Forescout ha reso disponibile uno script open-source per rilevare dispositivi che utilizzano le suite colpite da queste problematiche. Inoltre, consigliamo anche l’applicazione di sistemi di controllo e segmentazione della rete, finché le patch non verranno installate. Infine, è consigliabile monitorare il traffico di rete per rilevare l’eventuale presenza di pacchetti dannosi che, attraverso una violazione delle vulnerabilità, tentano di colpire client DNS, mDNS e DHCP. NAME:WRECK è uno di quei casi in cui un’implementazione scorretta di una parte specifica di un RFC può portare a conseguenze disastrose che coinvolgono diverse parti di uno stack TCP/IP e, a cascata, anche diversi prodotti che utilizzano questo stack.

Una soluzione di compromesso: disattivare la compressione dei messaggi DNS

Vale la pena sottolineare come la disattivazione della compressione (come accade ad esempio in lwIP) è una tecnica di mitigazione efficace contro questo tipo di vulnerabilità. Considerando che il risparmio nel consumo di banda è pressoché insignificante nel nuovo mondo fatto di connettività ad alta velocità, è lecito credere che la compressione dei messaggi DNS, allo stato attuale, comporti o introduca più problemi di quanti ne risolva in realtà.

Non abbassiamo la guardia!

Back To Top