En noviembre de 2021, los investigadores de ciberseguridad descubrieron varias vulnerabilidades críticas que afectaban a los sistemas Android y Linux integrados . Google publicó su actualización de seguridad mensual para Android, pero los usuarios y los fabricantes deben estar dispuestos a aplicar parches al sistema operativo para impedir que los atacantes aprovechen las vulnerabilidades. Las vulnerabilidades descubiertas en noviembre abarcan varias oportunidades de explotación graves para los atacantes, entre las que se incluyen la ejecución remota de código (RCE), la denegación de servicio (DoS), un zero-day descrito como una explotación de memoria use-after-free y la escalada de privilegios del kernel. Todos estos problemas son graves si no se corrigen, por lo que es necesario actualizar rápidamente para evitar ser el próximo objetivo.
A pesar del riesgo crítico, es habitual que muchos fabricantes y desarrolladores ignoren el riesgo y eviten la sobrecarga que suponen las actualizaciones. La aplicación de parches y la actualización del kernel de Linux requieren pruebas, ya que existe la posibilidad de que algo salga mal, lo que provocaría un tiempo de inactividad y un posible desastre. Para evitarlo, en L4B colaboramos con nuestros clientes para garantizar una actualización fluida, de modo que sus sistemas estén seguros y se minimice el tiempo de inactividad.
Android obsoleto y nuevas vulnerabilidades CVE peligrosas
Android impulsa muchos sistemas integrados, y algunos fabricantes de equipos originales siguen utilizando versiones antiguas de Android (versiones 6-8) porque son estables. Aunque son estables, cualquier desarrollador que siga utilizando estas versiones antiguas de Android deja su aplicación expuesta a numerosas vulnerabilidades críticas. Esto convierte a todo el sistema en una bomba de relojería a la espera de que el hacker adecuado identifique y aproveche una vulnerabilidad conocida.
Google lanza parches con frecuencia para abordar y remediar las vulnerabilidades, pero es habitual que los fabricantes de equipos originales y los fabricantes de sistemas solo realicen actualizaciones tras un largo proceso de pruebas. Aunque las pruebas son necesarias, dejan una ventana abierta para que los atacantes aprovechen los kernels y sistemas Linux sin parches con vulnerabilidades conocidas. Si la vulnerabilidad incluye una prueba de concepto, los atacantes pueden utilizarla para crear rápidamente exploits y encontrar sistemas sin parches.
La vulnerabilidad más notable en la última versión de Google es CVE-2021-1048, pero Google enumeró varias otras en su Boletín de seguridad de Android. CVE-2021-1048 deja a los sistemas vulnerables a dos exploits: condiciones de escritura donde se desee y manipulación de memoria después de la liberación. Ambos podrían conducir a la divulgación aleatoria de memoria o a la ejecución remota de código, lo que supone un riesgo crítico si no se corrige.
Con la última actualización de seguridad se han corregido otras vulnerabilidades, todas ellas con graves consecuencias si un sistema integrado se mantiene en versiones antiguas. L4B Software le proporcionará soluciones de actualización fluidas para proteger y estabilizar su sistema si no confía en el proceso de actualización de Android. Con nuestro laboratorio de validación automática BSP, garantizamos la seguridad de los artefactos y las imágenes del sistema operativo.
Actualizar el kernel de Linux es tan importante como aplicar parches al software de terceros.
La vulnerabilidad más notable para Linux proviene de BusyBox, una popular utilidad de Unix que contiene varios applets comunes en controladores lógicos programables (PLC), dispositivos IoT, interfaces hombre-máquina (HMI) y unidades terminales remotas (RTU). Es esta aplicación la que, en noviembre de 2021, se descubrió que introducía varias vulnerabilidades en los sistemas integrados.
Los investigadores anunciaron 14 vulnerabilidades que abarcan desde CVE-2021-42373 hasta CVE-2021-42386. Estas CVE indican que todas ellas dejan el sistema vulnerable a denegaciones de servicio, pero 10 de ellas podrían explotarse para la ejecución remota de código.
Las vulnerabilidades descubiertas en BusyBox afectan a diversas versiones, por lo que todas las instalaciones de fabricantes de equipos originales o de sistemas deben actualizarse. Los investigadores estudiaron varios firmwares de sistemas integrados y descubrieron que el 40 % de los sistemas eran vulnerables. Este descubrimiento hace que millones de aplicaciones y entornos sean vulnerables a pérdidas de datos críticos y fallos, por lo que deben actualizarse inmediatamente por motivos de seguridad.
Aunque para explotar estas vulnerabilidades se necesitarían condiciones específicas y un ataque sofisticado, sigue siendo arriesgado dejar sin parchear cualquier sistema que utilice BusyBox. Puede parecer un parche innecesario, pero todos los desarrolladores y fabricantes deben dar prioridad a la ciberseguridad y la protección de sus sistemas. La aplicación de parches a los sistemas integrados protege a los clientes y sus datos, y la supervisión negligente de entornos críticos puede dañar la marca, provocar la pérdida de clientes y de ingresos, y generar futuros costes por litigios.
Al igual que con los sistemas Android, es comprensible que muchos fabricantes y OEM de dispositivos médicos y electrónica de consumo duden en actualizar inmediatamente antes de realizar pruebas. Las pruebas siempre son necesarias, pero cuanto más se espera, más tiempo tiene un atacante para actuar. L4B Software puede colaborar con usted para garantizar la seguridad de su entorno y, al mismo tiempo, mantener el proceso de actualización funcionando de manera fluida y eficiente.
