Milioni di dispositivi IoT in tutto il mondo sono potenzialmente a rischio di attacchi cyber, secondo quanto hanno scoperto i ricercatori dei Forescout Research Labs. La causa sono trentatré vulnerabilità, denominate “Amnesia 33”, che colpiscono lo stack Tcp/Ip embedded e potrebbero consentire a eventuali aggressori di:
- compromettere il funzionamento dei dispositivi da remoto,
- far eseguire del codice malevolo o dannoso,
- compiere attacchi del tipo denial-of-service,
- esfiltrare le informazioni sensibili,
- iniettare record DNS modificati per far puntare il dispositivo ad un domain controller gestito dall’attaccante.
Video Forescout Resources
Indice degli argomenti
Amnesia 33, gli elementi del problema
Lo stack TCP/IP embedded fornisce le funzionalità di comunicazione in rete, essenziale per i dispositivi IoT, a molti dei sistemi operativi adottati nei dispositivi integrati che desiderano sfruttare i protocolli basati sul Tcp/Ip. Questi software vengono utilizzati anche dalle più recenti tecnologie come l’Edge Computing.
I ricercatori hanno individuato le trentatré vulnerabilità nelle seguenti implementazioni:
- uIP: https://github.com/adamdunkels/uip
- Contiki-OS and Contiki-NG: https://www.contiki-ng.org/
- PicoTCP and PicoTCP-NG: http://picotcp.altran.be
- FNET: http://fnet.sourceforge.net/
- Nut/OS: http://www.ethernut.de/en/software/
Le vulnerabilità di “Amnesia 33” interessano sette diversi componenti dello stack: DNS, IPv6, IPv4, TCP, ICMP, LLMNR e mDNS e possono essere trovate in prodotti che vanno dai componenti embedded (come i Systems on a Chip – SoC, i moduli di connettività e le schede OEM) all’IoT consumer (come le prese e i termostati intelligenti), dal networking alle apparecchiature d’ufficio (come stampanti, switch e software dei server) per finire con gli OT (come dispositivi per il controllo all’accesso, le telecamere IP, i Remote Terminal Unit (RTU) e i sistemi di condizionamento (HVAC).
Le vulnerabilità e il loro possibile impatto sono stati dettagliati nel report dei Forescout Research Labs. Tuttavia, va sottolineato, l’impatto finale dipende dai dispositivi specifici che utilizzano lo stack vulnerabile e dal contesto in cui vengono utilizzati. Per esempio, una vulnerabilità della classe DoS non è generalmente considerata critica, ma potrebbe esserlo se il target è un dispositivo OT in ambiente critico dove la disponibilità rappresenta un requisito fondamentale.
Inoltre, è possibile sfruttare la vulnerabilità offerta dai Remote Code Execution dei dispositivi per commettere frodi a un contatore smart, violare le reti aziendali tramite la building automation e i router, le VPN, i firewall o gateway o tentare di causare danni fisici a un safety controller.
Poiché i bugs interessano più implementazioni dello stack TCP/IP open source, è difficile individuare in maniera puntuale tutti i dispositivi interessati. Inoltre, a causa delle molteplici fork, branch e versioni non supportate (ancora disponibili), sarà difficile applicare le patch e spesso questo non avverrà mai.
Un ulteriore difficoltà è rappresentata dalla circostanza che questi componenti software possono essere integrati nei S.O. dei dispositivi in diverse modalità: possono essere compilati direttamente dal codice sorgente, modificati, integrati e collegati come librerie dinamiche o statiche, consentendo un’ampia varietà di implementazioni. La molteplicità di scelte e la mancanza di visibilità della catena di approvvigionamento rende molto difficile e complessa la valutazione precisa del loro impatto e utilizzo e, soprattutto, la potenziale sfruttabilità delle vulnerabilità di “Amnesia 33”.
In generale, la maggior parte di queste vulnerabilità è causata da errori nella gestione della memoria. L’impatto di queste varia ampiamente a causa della combinazione di opzioni di build e runtime personalizzate incluse nei dispositivi IoT. In sintesi, un utente malintenzionato, remoto e non autenticato, potrebbe essere in grado di utilizzare dei pacchetti di rete appositamente predisposti per far sì che il dispositivo vulnerabile si comporti in maniera imprevista, oppure generare un errore con la conseguenza di negare un determinato servizio e, perfino, divulgare informazioni private o eseguire del codice arbitrario.
Quali sono le soluzioni contro Amnesia 33
La soluzione a questa casistica di problemi può essere affrontata con due approcci distinti.
Il primo approccio ha un obiettivo a breve termine e si concentra sui dispositivi in produzione. In questa fase le azioni da porre in essere si concretizzano sostanzialmente nel tentativo di applicare tutti gli aggiornamenti di sicurezza rilasciati.
Se questi componenti software sono stati forniti da un provider, occorrerebbe contattarlo per ottenere gli aggiornamenti appropriati che devono essere integrati nel software in uso. Mentre, gli utenti finali di dispositivi IoT embedded, che implementano questi software vulnerabili, devono contattare il proprio fornitore o il rivenditore per ottenere gli aggiornamenti appropriati.
L’altro approccio ha una visione a medio e lungo termine e si attua attraverso una serie di best practice che è opportuno seguire prima di connettere un nuovo dispositivo IoT a una rete:
- evitare l’esposizione del dispositivo IoT direttamente sulla rete Internet e, se disponibile, utilizzare una zona di rete segmentata,
- abilitare la funzionalità di debugging per effettuare un’analisi approfondita dei pacchetti di rete e rilevare le anomalie del firewall, se presente, per proteggere i dispositivi embedded e IoT,
- garantire l’adozione di impostazioni predefinite sicure e disabilitare le funzioni e i servizi inutilizzati,
- aggiornare regolarmente il firmware all’ultima versione stabile fornita dal fornitore per garantire che il dispositivo sia sempre aggiornato.
Conclusioni
Non è la prima volta che gli stack TCP/IP risultano vulnerabili agli attacchi. Alla fine del 2019, i ricercatori di Armis avevano rivelato undici vulnerabilità in IPnet, uno stack TCP/IP utilizzato in Wind River VxWorks, un sistema operativo utilizzato da oltre 2 miliardi di dispositivi in ambienti industriali, medici e aziendali.
Quindi, nel giugno 2020, i ricercatori di JSOF hanno rivelato venti vulnerabilità nella libreria Treck TCP/IP, utilizzata in centinaia di milioni di dispositivi IoT e OT.
Queste criticità rappresentano indubbiamente una grande sfida per le organizzazioni che sfruttano le tecnologie basate sull’IoT per la mitigazione del rischio.
L’analisi che ha condotto a individuare le vulnerabilità di “Amnesia 33” ha consentito di evidenziare un’altra importanza debolezza. Questi dispositivi molto spesso non sono accompagnati da schede tecniche dettagliate che aiutano a comprendere i componenti, hardware e software, utilizzati, di conseguenza, diventa particolarmente complesso, se non impossibile, ottenere queste informazioni utili agli addetti alla sicurezza per l’applicazione del patching adeguato.
L’ecosistema IoT è altamente competitivo e, di conseguenza, è un settore dell’IT fortemente esposto all’utilizzo di software difettoso a causa di catene di approvvigionamento complesse che propagano vulnerabilità.
A riguardo si sottolinea quanto sia importante la sicurezza della supply chain del software e dei dispositivi di rete. A tal proposito è utile ricordare le recenti “Guidelines for Securing the Internet of Things” emanate dall’ European Union Agency for Cybersecurity (ENISA) incentrate sulla sicurezza della supply chain per l’IoT.
L’Italia ha già avviato un percorso di validazione con l’istituzione dell’OCSI (Organismo di Certificazione della Sicurezza Informatica) a cui è stata delegata la gestione dello schema nazionale per la valutazione e la certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione ai sensi del DPCM del 30 ottobre 2003 (G.U. n.98 del 27 aprile 2004).
Al momento della scelta del prodotto IoT o OT è fortemente consigliato, quindi, verificare anche il percorso di certificazione effettuato.
