Fernando Karl – Diretor de Operações em Segurança Cibernética
RIPPLE20. O que é?
Um conjunto de 19 vulnerabilidades identificadas em uma biblioteca de TCP/IP vendida pela empresa Treck e utilizada por centenas de milhões de dispositivos de dezenas de fabricantes. Dentre o conjunto de vulnerabilidades existem algumas classificadas como críticas, podendo ser exploradas de forma remota que permitem ou controle remoto de dispositivos sem necessidade de usuário ou a obtenção de dados sensíveis armazenados nos dispositivos.
Quais dispositivos são afetados?
Não existe uma base centralizada de cadeia de suprimentos que possa mapear a presença deste componente. A Forescout identificou cerca de 90.000 diferentes dispositivos através de uma base de assinaturas e os tipos variam desde equipamentos de rede, câmeras IP, no-break, geradores, impressoras, dispositivos de medicina, biblioteca de fitas de backup, storages, lâmpadas inteligentes, caixas de som, equipamentos de manufatura, etc. A lista de fabricantes afetados não é definitiva, mas inclui HP, Intel, Rockwell e está sob análise.
Como identificar?
A Service IT Security está auxiliando os seus clientes a primeiramente realizar um mapeamento dos dispositivos de rede através de três passos:
- Execução de uma varredura interna e externa com o Qualys Asset View
- Mapeamento da infraestrutura externa com fontes de Threat Intelligence
- Caso seja necessário, executar uma varredura de análise de vulnerabilidades com o Qualys Vulnerability Management
Tenho como mitigar?
Sim, existem medidas na rede que podem mitigar os ataques. A Service IT Security pode auxiliar os clientes a executar mudanças na rede para:
- Remover quaisquer dispositivos como IoT de acesso externo, minimizando a possibilidade de acessos indevidos.
- Segregar redes de automação e dispositivos IoT do resto da rede.
- Ativar inspeção de pacotes, bloqueando pacotes fragmentados e mau formados na rede.
- Desativar qualquer tunelamento de IPv4 e IPv6, se não necessário.
- Implantar um serviço DNS seguro para rede interna.
- Somente permitir acesso remoto através de métodos seguros.
E temos como aplicar patches?
Como vários fabricantes estão analisando o conjunto de vulnerabilidades, então não se tem uma lista final de produtos afetados e patches disponíveis para tais. Em cada produto/equipamento se deverá ter um tipo de patch ou forma de correção a ser aplicada conforme for publicado pelo fabricante.
