El gruyere de las pilas TCP/IP

En mayo de 2020, durante la fase más complicada de la pandemia en el mundo, recibimos la noticia que el Internet estaba roto como consecuencia de unos fallos llamados Ripple20 que afectaban a que millones de dispositivos IoT. Pero este fue solo uno de los hallazgos de una serie de problemas detectados en la pila de TCP/IP que se han reunido en una investigación llamada el Proyecto Memoria.

En este proyecto se reportan vulnerabilidades en la implementación de 14 pilas TCP/IP detectadas tras 18 meses de investigaciones. El resultado es la divulgación de 97 vulnerabilidades agrupadas en 6 reportes que, por su propia naturaleza, son calificadas con un nivel de riesgo muy alto e impactan a millones de dispositivos y a cientos de fabricantes.

Lo primero que llama la atención del reporte es la fecha del lanzamiento inicial de las catorce pilas TCP/IP, que como mínimo cuentan con 7 años y como máximo 28. Evidencia que, como en anteriores ocasiones en otros protocolos base, se arrastran vulnerabilidades desconocidas desde muchas décadas atrás.

Esto no implica que todos las pilas o protocolos sean vulnerables solo por ser antiguos, pero sí manifiesta que en muchas ocasiones los procesos de corrección y de mejoras en este tipo de elementos básicos para el funcionamiento de internet son algo lentos. Además, el estudio indica que uno de los principales problemas es la falta de respuesta de muchos fabricantes al momento de avisarles de las vulnerabilidades o la lenta adopción de parches, como en el caso de Schneider Electric, que tardó 308 días en publicar los parches de corrección de las vulnerabilidades conocidas como AMNESIA:33.

El otro punto muy importante es el impacto de estas vulnerabilidades, pues en su mayoría las implementaciones se encuentran en dispositivos de IoT, IioT y OT, que son la base del funcionamiento de las infraestructuras críticas e industrias en el mundo. Dispositivos como turbinas de gas, elementos de transmisión eléctrica y RTU de la marca Siemens, han confirmado por sus propios CERT la existencia de las vulnerabilidades en sus dispositivos en los dos últimos meses SSA-044112 y SSA-316383, que confirman a NUCLEUS:13 y NUMBER:JACK respectivamente.

Pero no es la única industria afectada. Otras gravemente impactadas son los entornos gubernamentales y de servicios médicos. De hecho son los que más dispositivos afectados reportan, rondando ambos el 60% de ellos.

Como en ocasiones anteriores, este caso evidencia la necesidad de realizar mayores controles sobre cómo los fabricantes y desarrolladores están haciendo creando o haciendo uso de las diferentes pilas de TCP/IP en sus implementaciones.

La buena noticia es que este tipo de errores reportados de forma responsables manifiesta la importancia no solo de estos análisis, sino de lo vital que resulta ofrecer una alerta temprana a las organizaciones del mundo para concienciar sobre el resto de vulnerabilidades todavía no descubiertas que pueden encontrarse en entornos críticos.