Falle su stack tcp/ip NicheStack per sistemi IoT e ICS

Proto: N010821.

Con la presente CERT-Yoroi desidera informarla relativamente a una serie di vulnerabilità che riguardano la tecnologia NicheStack di HCC Embedded, stack tcp/ip per dispositivi IoT e ICS adottati in molteplici ambienti, dalla videosorveglianza fino ai dispositivi real-time utilizzabili in ambiente industriale ed adottata da numerosi Vendor come STMicroelectronics, Freescale (NXP), Altera (Intel), Microchip, Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation e Schneider Electric. 

Le falle sono referenziate con l’alias “INFRA:HALT” e sono identificate con le seguenti CVE:  2020-25928, 2021-31226, 2020-25767, 2020-25927, 2021-31227, 2021-31400, 2021-31401, 2020-35683, 2020-35684, 2020-35685, 2020-27565, 2021-36762, 2020-25926, 2021-31228. 

Le falle più gravi nella serie INFRA:HALT sono dovute una cattiva gestione del processamento delle richieste DNS (CVE-2020-25928) ed a lacune nella gestione della memoria nel processamento di richieste HTTP (CVE-2021-31226). Tali condizioni permettono a un attaccante di rete privo di autenticazione di eseguire codice arbitrario tramite l’invio di pacchetti malevoli. Scenario che rende possibili attacchi tramite botnet rivolti a dispositivi IoT (e.g. Mirai), oltre che scenari di attacco mirato negli ambienti ICS/SCADA. 

Figura: Possibile scenario di attacco mirato (Source: Jfrog) 

Le problematiche sono state confermate nell’apposito bollettino di sicurezza fornito dal Vendor, nel quale risultano afflitte tutte le versioni di NicheStack fino alla versione 4.3. 

Considerata la potenziale esposizione di tali dispositivi, la loro pervasività e diffusione all’interno delle reti ed il rilascio di dettagli tecnici legate a tali vulnerabilità, CERT-Yoroi consiglia caldamente di applicare le patch per i firmware dei dispositivi afflitti. CERT-Yoroi consiglia inoltre di:  

• Validare lo stato della configurazione dei propri dispositivi embedded tramite l’apposito script a disposizione . 
• Monitorare opportunamente eventuali tentativi di accesso abusivo ai dispositivi IoT e ICS.  
• Ridurre la superficie di attacco, ad esempio con politiche di accesso VPN o white-listing.  
• Segmentare la rete in modo tale da limitare possibili movimenti laterali. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index