Cientos de millones de dispositivos utilizados diariamente en todo el mundo podrían estar expuestos a un conjunto de 19 vulnerabilidades de zero-day, conocidas como Ripple20. El laboratorio de investigación JSOF descubrió vulnerabilidades en la librería de software Treck TCP/IP, las cuales se han utilizado durante décadas por fabricantes que desarrollan dispositivos para la industria, la salud y dispositivos inteligentes. Como resultado, sospechamos que la mayoría de clientes del sector sanitario se verán afectados de una u otra forma y deberían tomar medidas para identificar y mitigar sus riesgos.
El potencial impacto de las vulnerabilidades de Ripple20
El uso generalizado de la librería de software Treck significa que las vulnerabilidades podrían afectar potencialmente a decenas, incluso a cientos, de millones de dispositivos, incluidos productos como dispositivos médicos, sistemas de data center, impresoras, routers e infraestructura crítica.
De acuerdo con el CERT Coordination Center, “el impacto de estas vulnerabilidades variará debido a la combinación de la creación y el tiempo de ejecución utilizado mientras se desarrollaban los diferentes sistemas integrados. Esta diversidad de implementaciones y la falta de visibilidad en la cadena de suministro ha agravado el problema de saber con precisión el impacto de estas vulnerabilidades”.
Cuatro de estas vulnerabilidades descubiertas han sido calificadas como críticas por permitir la ejecución de código remoto (RCE) y la exposición de información sensible. JSOF señaló que una de las vulnerabilidades está “en el protocolo DNS y puede ser potencialmente explotable por un atacante sofisticado a través de Internet, desde fuera de los límites de la red o incluso en dispositivos que no están conectados a ella”.
Cómo proteger tu red
El mejor remedio será parchear los dispositivos afectados. Sin embargo, es probable que pase un tiempo antes de que los parches para cada uno de estos dispositivos estén disponibles y aprobados por los fabricantes. Además, desde la perspectiva de una organización que presta servicios de salud, el parcheo de sistemas integrados, el cual puede formar parte de sistemas e infraestructuras críticas, puede ser extremadamente complicado. A menudo se requieren actualizaciones de firmware u otros sistemas que son difíciles de orquestar y gestionar, particularmente, cuando se depende de estos dispositivos para la prestación continua de atención al paciente. Por lo tanto, hasta que los sistemas de salud puedan parchear con confianza todos los dispositivos afectados, desde Medigate recomendamos los siguientes pasos:
1. Identificar todos los dispositivos afectados en su red
Asegúrese de qué dispositivos están ejecutándose en Treck, para entender dónde puede ser potencialmente vulnerable.
Podemos ayudarle: La inspección profunda de paquetes (DPI) puede descubrir e identificar huellas digitales de todos los dispositivos médicos e IoT conectados a su entorno, hasta su software integrado. Esta información puede utilizarse después para trazar un mapa de vulnerabilidades en su inventariado y así identificar los dispositivos que pueden ponerle en riesgo. Medigate también ofrece una herramienta de escaneo activo para identificar los dispositivos afectados.
2. Monitorear su red
Busque el tráfico IP anómalo que podría ser indicativo de un exploit y bloquéelo para prevenir la exfiltración de datos.
Podemos ayudarle: Gracias a la comprensión de Medigate de los protocolos y flujos de trabajo clínicos previstos por el fabricante de IoMT (Internet of Medical Things), podemos ayudarle a detectar con precisión el comportamiento malicioso que debe ser detenido.
3. Segmentar la red para contener riesgos
Considere segmentar y aislar los dispositivos potencialmente afectados para reducir al mínimo impacto un exploit de una de las vulnerabilidades que podría tener en sus datos y operaciones.
Podemos ayudarle: Medigate puede recomendar políticas de segmentación clínicamente aprobadas, basadas en el tipo y la función del dispositivo que puede limitar mejor su exposición al riesgo.
4. Aplicar parches cuando estén disponibles
Treck emitió un aviso de seguridad confidencial y un parche a sus clientes en marzo. Los fabricantes están en proceso de identificar todos sus productos afectados y testear y aprobar los parches que pueden utilizarse para cerrar los agujeros creados por las vulnerabilidades de Ripple20. Cuando estén disponibles, las organizaciones de prestación de servicios sanitarios deberían aplicar estos parches tan pronto como sea posible.
Podemos ayudarle: Con el mapeo de vulnerabilidades de Medigate, las organizaciones pueden priorizar y gestionar el parcheo de sistemas afectados.
Puedes leer el artículo original en el blog de Medigate.