En los últimos años, hemos sido testigos de una escalada de ataques a través de dispositivos conectados. El mundo está empezando a entender que los dispositivos tradicionales de TI representan tan sólo la punta del iceberg de los riesgos cibernéticos. La proliferación de IoT, OT y otros dispositivos conectados sin agentes creará una superficie de ataques potencialmente mayor. Dentro de estos dispositivos, se encuentra una nueva capa de riesgo, que ahora arroja más de luz gracias a las nuevas investigaciones de Forescout Research Labs.
Las vulnerabilidades descubiertas y discutidas podrían permitir a un ciberatacante robar datos, apagar sistemas o incluso tomar el control total de los propios dispositivos.
AMNESIA:33 es un conjunto de 33 nuevas vulnerabilidades de corrupción en la memoria que afectan a cuatro pilas populares de código abierto de TCP/IP: uIP, FNET, picoTCP and Nut/Net. Estas pilas son utilizadas en muchos paquetes de software y firmware, equipos de desarrollo, compañías y productos, lo que plantea importantes desafíos en la gestión de parches. Como resultado, Forescout ha identificado cientos de fabricantes y millones de dispositivos IoT, OT e IT potencialmente en riesgo en todo el mundo. Además, ha estado trabajando durante varios meses con los propietarios de estos paquetes para alertarlos de los problemas y ayudarlos a remediarlos cuando sea posible. Puedes conocer más detalles sobre las vulnerabilidades anunciadas por los investigadores de Forescout aquí.
La naturaleza de las vulnerabilidades como AMNESIA:33 cambia fundamentalmente nuestra comprensión de los riesgos que plantean los dispositivos conectados. Mientras las organizaciones pueden hablar con confianza sobre la seguridad de los dispositivos que permiten dentro de su entorno, es imposible tener la misma certeza en cada nivel de los sistemas integrados. Asimismo, las organizaciones podrían no ser capaces de parchear vulnerabilidades como AMNESIA:33 al no estar ligadas a un dispositivo específico o una aplicación. Estos factores hacen que sea aún más importante elevar esta conversación a los más altos niveles de la empresa ya que requieren de un nuevo enfoque para identificar, segmentar y hacer cumplir las normativas en cada dispositivo conectado, especialmente aquellos que son sospechosos de ser activos de riesgo.
Las organizaciones son tan fuertes como su eslabón más débil. Los ejecutivos y la junta directiva tienen la responsabilidad de entender todo el espectro de una superficie de ataque –incluso la cadena de suministro–, a medida que despliegan controles para reducir el riesgo de compromiso de la red y ayudan a garantizar la continuidad de negocio.
Un proyecto global para asentar las bases del desarrollo de dispositivos más seguros
Esta nueva investigación se centra en la base de la comprensión de los dispositivos interconectados. Los CIOs y CISOs de las mayores organizaciones del mundo sitúan en primer plano la amenaza de dispositivos administrados y no administrados que se infiltran en sus redes y están tomando medidas activamente para hacer frente a ese riesgo empresarial. La naturaleza generalizada de las vulnerabilidades de este tipo exige que las empresas tengan un conjunto completo de controles compensatorios.
Como líder en la seguridad de la Empresa de las Cosas (Enterprise of Things o EoT), Forescout cree que es nuestra responsabilidad invertir en este tipo de investigaciones para que podamos seguir concienciando sobre los riesgos más críticos. AMNESIA:33 representa la primera divulgación de lo que hemos denominado Project Memoria, un esfuerzo continuo de Forescout Research Labs para descubrir y arrojar luz sobre este tipo de vulnerabilidades de los componentes de software para ayudar a las organizaciones a proteger mejor sus dispositivos EoT.
Además de sus investigaciones del Project Memoria, Forescout colabora con sus homólogos de la industria, universidades e institutos de investigación para comprender las vulnerabilidades de las pilas del TCP/IP y cómo se pueden mitigar esas amenazas. Forescout se enorgullece de liderar este camino, pero es una categoría de investigación emergente e importante que exige la participación plena de la industria.
Estoy muy orgullo del duro trabajo y dedicación del equipo de Forescout en esta área crítica de investigación y su compromiso por servir a la industria.
Dada la naturaleza generalizada de estos tipos de vulnerabilidades y la dificultad de remediarlas a escala, es sólo cuestión de tiempo que sean explotadas. Las organizaciones deben prepararse antes de que llegue ese momento o ser conscientes de que pueden ser atacadas.
Para más información sobre cómo mitigar estos riesgos, puede leer el sumario ejecutivo aquí.