Diversos dispositivos que tenemos en casa se conectan a Internet y son conocidos generalmente como IoT (Internet of Things). Pero también existen dispositivos que son usados en la industria, en el cuidado de la salud y en otros lugares, que también se conectan a Internet e incluyen sistemas embebidos para su funcionamiento.

Ejemplo de estos son los grandes aparatos médicos para realizar estudios de imagenología, robots industriales, equipos de agricultura de precisión e incluso cajeros automáticos o máquinas vendedoras que procesan dinero en efectivo. Las empresas que desarrollan todos estos dispositivos, por lo general se enfocan en su especialidad y dejan los detalles técnicos y de comunicación a otros proveedores expertos en el tema, integrando componentes para reducir el tiempo de desarrollo.

Cuando una vulnerabilidad afecta a estos proveedores, el número de productos afectados puede llegar a ser inmenso. Tal es el caso del grupo de vulnerabilidades identificado en 2020 como Amnesia:33 que afectó a millones de dispositivos de 150 vendedores que integran en sus productos alguna de las pilas de protocolos de comunicación TCP/IP de código abierto. En total se identificaron 33 vulnerabilidades en cuatro pilas TCP/IP: uIP, PicoTCP, FNET y Nut/Net. El problema es ocasionado por corrupción de memoria (por ello el nombre) y expone a los dispositivos afectados a ejecución remota de código, divulgación de información, denegación de servicio o envenenamiento del cache de DNS.

Otro caso fue el nuevo grupo de vulnerabilidades identificadas en marzo del 2022 como Access:7, que afectó al proveedor de servicios Axeda, el cual habilita la comunicación y la administración remota de dispositivos embebidos de más de 100 vendedores. Entre los productos afectados se encuentran diversos dispositivos médicos y de laboratorios en los cuales se podría impactar directamente sobre los resultados de análisis de pacientes, o en la modificación de la información de tratamientos o expedientes. También podría afectar a cajeros automáticos y a otros dispositivos. La agencia de seguridad de infraestructura y ciberseguridad (CISA) y la Administración de Alimentos y Medicinas (FDA) del gobierno de Estados Unidos emitieron alertas recientes sobre estas vulnerabilidades.

Un gran problema de estas vulnerabilidades es que no son fáciles de remediar. Muchos sistemas embebidos no tienen las características y propiedades para actualizarse automáticamente e involucran pasos complicados, por lo que en algún momento podría resultar mejor el cambio del dispositivo que la actualización. En otros casos no hay opción y hay que buscar la manera de mitigar el riesgo, por ejemplo, no exponiendo dispositivos médicos directamente al Internet.

La lección que deberían tomar los desarrolladores de estos dispositivos cuando usen código fuente de terceros, ya sea código abierto o comercial, es la importancia de auditarlo para evitar estas vulnerabilidades en cascada de las cuales no son completamente responsables, aunque sí lo son de actualizar sus dispositivos para la seguridad de los usuarios.

Referencias:

https://www.forescout.com/research-labs/amnesia33/
https://www.forescout.com/research-labs/access7/
https://www.bleepingcomputer.com/news/security/access-7-vulnerabilities-impact-medical-and-iot-devices/
https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity
https://www.cisa.gov/uscert/ics/advisories/icsa-22-067-01