Han salido a la luz 19 vulnerabilidades críticas, dos de ellas con una puntuación CVSS de 10, en un componente utilizado en multitud de dispositivos IoT.
Según la empresa de ciberseguridad israelí JSOF, que ha denominado a este conjunto de vulnerabilidades como Ripple20, los dispositivos afectados se utilizan en sectores variados, que incluyen productos de consumo doméstico, dispositivos médicos, e incluso hasta sistemas de control industrial.
Tanto la Agencia de Seguridad Nacional americana como el CISA ICS-CERT han emitido respectivos comunicados, alertando de la situación.
Por poner unos ejemplos: es posible el filtrado de información de una impresora conectada, cambiar el comportamiento de una bomba de insulina, o causar problemas de funcionamiento en dispositivos industriales
Los problemas residen en la implementación del stack TCP/IP en una librería desarrollada por la empresa Treck, utilizada por numeross fabricantes. En el informe publicado, se confirman al menos 8 fabricantes con productos afectados, con otros 66 pendientes aún de verificación.
Resumen de las principales vulnerabilidades
- CVE-2020-11896 (CVSS 10): Se puede provocar la vulnerabilidad mediante el envío de múltiples paquetes IPv4 malformados. Permite la ejecución remota de código, y ha sido demostrado en dispositivos de la empresa Digi Internacional. También es posible causar denegación de servicio.
- CVE-2020-11897 (CVSS 10): Similar a la anterior, pero en su vertiente IPv6.
- CVE-2020-11901 (CVSS 9): Explotable mediante la respuesta a una solicitud DNS realizada por el dispositivo. Permite la ejecución remota de código y ha sido probado en una UPS de la marca Schneider Electric APC.
- CVE-2020-11898 (CVSS 9.1): Exposición de información debido al incorrecto tratamiento de inconsistencias en tamaño del paquete IPv4/ICMP.