Un grupo de expertos de la empresa israel\u00ed JSOF ha hallado 19 vulnerabilidades de d\u00eda cero, algunas de ellas cr\u00edticas, que afectan a cientos de millones de dispositivos del Internet de las cosas (IdC). Lo peor de todo es que algunos de estos dispositivos nunca recibir\u00e1n actualizaciones. Todas las vulnerabilidades se hallaron en la biblioteca de TCP\/IP de Treck Inc., que la empresa ha estado desarrollando durante m\u00e1s de dos d\u00e9cadas. El sistema de vulnerabilidades se denomina Ripple20.<\/p>\n
Puede que nunca hayas escuchado hablar de Treck o de su biblioteca de TCP\/IP, pero dado el n\u00famero de dispositivos y vendedores afectados, probablemente en tu red corporativa aparezca al menos una. Esta biblioteca est\u00e1 presente en todo tipo de soluciones del IdC, lo que significa que los dispositivos vulnerables del IdC incluyen art\u00edculo como impresoras dom\u00e9sticas y de oficina o equipos industriales y m\u00e9dicos.<\/p>\n
La creaci\u00f3n de Treck es una biblioteca de bajo nivel que permite que los dispositivos interact\u00faen de forma rec\u00edproca con Internet. Durante los \u00faltimos 20 a\u00f1os, desde el lanzamiento de la primera versi\u00f3n, muchas empresas la han estado utilizando, ya que suele resultar m\u00e1s sencillo utilizar una biblioteca prefabricada que desarrollar una propia. Algunos la implementaban sin m\u00e1s; otros la modificaban para adaptarla a sus necesidades o la integraban con otras bibliotecas.<\/p>\n
Por otra parte, al buscar empresas afectadas por Ripple20, los investigadores hallaron varios casos en los que el comprador original de la biblioteca hab\u00eda cambiado su nombre. En algunos casos, otra empresa hab\u00eda asumido el control. Por ello, no es sencillo conocer la cantidad real de dispositivos que utilizan esta biblioteca; aunque la cifra se estima en \u201ccentenares de millones\u201d, podr\u00edan ser incluso miles de millones.<\/p>\n
Esta cadena de suministro m\u00e1s bien compleja es tambi\u00e9n la raz\u00f3n de que algunos dispositivos nunca reciban parches.<\/p>\n
El nombre gen\u00e9rico Ripple20 abarca un total de 19 vulnerabilidades con diferentes grados de gravedad. Los investigadores a\u00fan tienen pendiente divulgar todos los detalles t\u00e9cnicos. Tienen pensado hacerlo en una conferencia Black Hat<\/em> a finales de verano. No obstante, se sabe que al menos cuatro vulnerabilidades se consideran cr\u00edticas, con una puntuaci\u00f3n CVSS<\/a> (sistema de puntuaci\u00f3n de vulnerabilidades comunes) de m\u00e1s de 9.0.<\/p>\n Otras cuatro vulnerabilidades que no est\u00e1n presentes en la versi\u00f3n m\u00e1s reciente de la biblioteca aparecen en las iteraciones anteriores que todav\u00eda se usan en dispositivos; la biblioteca se ha actualizado por motivos ajenos a la seguridad y muchos vendedores han seguido utilizando versiones anteriores.<\/p>\n De acuerdo con JSOF, algunas de las vulnerabilidades permiten que los atacantes (que pueden permanecer ocultos durante a\u00f1os sin ser detectados) tomen el control total de un dispositivo y lo utilicen para robar datos de las impresoras o cambiar el comportamiento del dispositivo. Dos vulnerabilidades cr\u00edticas permiten la ejecuci\u00f3n remota de c\u00f3digo arbitrario. En el sitio web de los investigadores<\/a> encontrar\u00e1s una lista de vulnerabilidades y un v\u00eddeo de demostraci\u00f3n.<\/p>\nQu\u00e9 hacer al respecto<\/h2>\n