Recent heeft het JSOF research lab meerdere zogenaamde ‘zero-day’ kwetsbaarheden ontdekt in een low-level TCP/IP software library ontwikkeld door Treck Inc. Zero-day kwetsbaarheden zijn kwetsbaarheden die nog onbekend zijn bij de ontwikkelaar en zodoende niet zijn op te lossen zodra deze worden misbruikt voor een aanval.
Deze kwetsbare software is al jaren door grote bedrijven zoals HP, Intel en Cisco in verschillende producten geïmplementeerd, zonder wetenschap te hebben van de problemen. Zo heeft deze software zijn weg al kunnen vinden in onder andere transportmiddelen, medische apparatuur en ook consumentenproducten. Maar dit is slechts het topje van de ijsberg.
In dit artikel bespreken we de risico’s, de omvang en de mogelijke oplossing.
*Volledige bron
De risico’s van de kwetsbaarheden in de TCP/IP software library ontwikkeld door TRECK zijn groot te noemen. Het JSOF research lab heeft een lijst samengesteld van verschillende manieren waarop deze kwetsbaarheden misbruikt kunnen worden. In alle gevallen komt het erop neer dat de aanvaller, op afstand, volledige controle kan krijgen over het apparaat. De lijst is als volgt:
Een aanvaller…
• buiten het netwerk kan een apparaat overnemen dat zich binnen het netwerk bevind, mits het is aangesloten op het internet.
• die al binnen het netwerk is gekomen kan specifieke apparaten aanvallen.
• kan alle apparaten in het netwerk tegelijk aanvallen.
• kan een apparaat misbruiken om jarenlang verborgen te blijven op het netwerk.
• kan een aanval plegen op een binnen het netwerk, van buiten het netwerk, door de Network Address Translation (NAT) configuratie te omzeilen.
• kan, in sommige scenario’s, een aanval plegen van buiten het netwerk door te antwoorden op packets die het netwerk verlaten, zodoende aan de Network Address Translation (NAT) voorbij te gaan.
“In alle gevallen komt het erop neer dat de aanvaller, op afstand, volledige controle kan krijgen over het apparaat.”
De kwetsbaarheden in de TCP/IP software library zijn dus op verschillende manieren aan te vallen en geven de aanvaller, op afstand, volledige controle over het apparaat. Om een goed beeld te krijgen van hoe groot het probleem is heeft het JSOF research lab gekeken hoe wijdverspreid deze software library is.
Ze kwamen erachter dat dit stukje software in de afgelopen twee decennia zijn weg heeft gevonden in allerlei producten, zowel door direct en indirect gebruik. Producten van 18 bedrijven zijn op het moment positief getest op deze kwetsbaarheden en van 54 bedrijven wacht nog de uitslag. Onder de getroffen bedrijven komen namen voor als HP, Intel en Cisco. Bedrijven die nog getest worden zijn onder andere NASA, GE general electric en Honeywell.
Grote namen dus waarvan menig consument, bedrijf en overheid producten in gebruik heeft. Het JSOF research lab identificeert 12 sectoren die te maken hebben met de kwetsbaarheden:
Het oplossen van de kwetsbaarheden is afhankelijk van de context, voor ieder product dient een evaluatie gemaakt te worden om aan de hand daarvan de juiste oplossing te vinden. Het JSOF research lab beschrijft wel een aantal algemene stappen die genomen kunnen worden om het probleem op te lossen:
• Alle organisaties moeten een uitgebreide risicobeoordeling doen alvorens ze defensieve maatregelen toepassen.
• Eerst moeten ze defensieve maatregelen in een passieve alarmmodus nemen (die dus in eerste instantie alleen loggen).
• Verzachtende oplossingen voor apparatenleveranciers:
o Of je kwetsbare Treck stack gebruikt
o Contacteer Treck om inzicht te krijgen in de risico’s
o Update naar de laatste Treck stack versie (6.0.1.67 of hoger)
o Als updaten niet mogelijk is dan moeten, waar mogelijk, kwetsbare features uitgeschakeld worden
• Verzachtende oplossingen voor operators en netwerken:
o Zorg dat alle apparaten geüpdatet worden naar gepatchte versies
o Als updaten niet mogelijk is dan gelden de volgende stappen:
▪ Minimaliseer de blootstelling van kwetsbare apparaten aan netwerken en het internet
▪ Zet IoT netwerken en apparaten achter firewalls en isoleer ze van het bedrijfsnetwerk
▪ Schakel alleen veilige remote access methoden in
o Blokkeer ongebruikelijk IP verkeer
o Blokkeer aanvallen op het netwerk doormiddel van deep packet inspectie, om zodoende het risico te verminderen
Het filteren van je netwerkverkeer is een effectieve voorzorgsmaatregel. Filteren kan op de volgende manieren:
• Normaliseer of blokkeer IP fragmenten
• Blokkeer of schakel IP tunneling uit
• Blokkeer IP source-routing
• Afgedwongen TCP inspectie, afkeuren van verkeerde TCP packets
• Blokkeer ongebruikte ICMP control berichten
• Normaliseer DNS door een beveiligde server of DNS inspectie firewall
• Zorg voor DHCP/DHCPv6 beveiliging
• Zet uit/Blokkeer IPv6 multicast mogelijkheden
• Zet DHCP uit wanneer statische IP’s gebruikt kunnen worden
• Gebruik netwerk IDS en IPS handtekeningen
• Gebruik netwerk segmentatie
Neem contact met ons op of lees meer Cyber7 blogs.
Fout: Contact formulier niet gevonden.