INFRA:HALT, múltiples vulnerabilidades en NicheStack

Fecha de publicación: 04/08/2021

Importancia:
Crítica

Recursos afectados:

Pila TCP/IP NicheStack, comúnmente utilizada en millones de dispositivos de TO en todo el mundo, incluso en infraestructura crítica como plantas de fabricación, generación / transmisión / distribución de energía, tratamiento de agua, etc.

Descripción:

Se han descubierto 14 vulnerabilidades, 2 de severidad crítica, 10 altas y 2 medias, que podrían permitir a un atacante la ejecución remota de código, la denegación de servicio, la fuga de información, la suplantación de TCP o el envenenamiento de la caché de DNS.

Solución:

• Actualizar a NicheStack v4.3.

Si esto no es posible, realizar las siguientes medidas de mitigación:

• Ejecutar el script de código abierto de Forescout Research Labs para detectar dispositivos que ejecutan NicheStack. La lista se actualiza constantemente con las últimas firmas.
• Aislar y segmentar los dispositivos vulnerables del resto de la red hasta que se puedan parchear. Mitigar de acuerdo con la lista a continuación.
  • Para las vulnerabilidades CVE-2020-25928, CVE-2020-25767, CVE-2020-25927, CVE-2021-31228 y CVE-2020-25926: desactivar el cliente DNSv4 si no es necesario o bloquear el tráfico DNSv4. Debido a que existen varias vulnerabilidades que facilitan los ataques de suplantación de DNS, es posible que el uso de servidores DNS internos no sea suficiente (los atacantes pueden secuestrar la correspondencia solicitud-respuesta).
  • Para las vulnerabilidades CVE-2021-31226 y CVE-2021-31227: desactivar el servidor HTTP si no es necesario, o incluir las conexiones HTTP en la lista blanca.
  • Para las vulnerabilidades CVE-2021-31400, CVE-2021-31401 y CVE-2020-35684: monitorizar el tráfico en busca de paquetes IPv4 / TCP con formato incorrecto y bloquearlos. Por ejemplo, debería ser suficiente tener un dispositivo vulnerable detrás de un cortafuegos correctamente configurado.
  • Para la vulnerabilidad CVE-2020-35685, seguir las recomendaciones de NUMBER:JACK, siempre que sea posible.
  • Para la vulnerabilidad 2020-35683: supervisar el tráfico de paquetes ICPMv4 con formato incorrecto y bloquearlos.
• Supervisar los parches publicados por los proveedores de dispositivos y crear un plan para la continuidad del negocio hasta que se complete la reparación completa. Los parches lanzados por HCC Embedded, la compañía que adquirió InterNiche Technologies, están disponibles bajo demanda.
• Controlar los paquetes maliciosos que intentan explotar estas vulnerabilidades u otras.

Detalle:

Las vulnerabilidades de severidad crítica son:

• La rutina para analizar las respuestas de DNS no comprueba el campo de “longitud de datos de respuesta” de las respuestas de DNS individuales, lo que puede permitir a un atacante la ejecución remota de código mediante la lectura o escritura fuera de límites. Se ha asignado el identificador CVE-2020-25928 para esta vulnerabilidad.
• La falta de validación de tamaño de las solicitudes HTTP POST podría permitir a un atacante la ejecución remota de código mediante un desbordamiento de búfer. Se ha asignado el identificador CVE-2021-31226 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad alta y media se han asignado los identificadores: CVE-2020-25767, CVE-2020-25927,  CVE-2021-31227,  CVE-2021-31400,  CVE-2021-31401,  CVE-2020-35683,  CVE-2020-35684,  CVE-2020-35685,  CVE-2020-27565,  CVE-2021-36762,  CVE-2020-25926 y CVE-2021-31228.

Etiquetas:
Actualización, Comunicaciones, DNS, Infraestructuras críticas, Vulnerabilidad