El 21 de noviembre de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) emitió siete avisos relacionados con Sistemas de Control Industrial (ICS). Estos avisos proporcionan información actualizada sobre vulnerabilidades y problemas de seguridad que afectan a diversos productos utilizados en infraestructuras críticas.
En este artículo, exploraremos las amenazas más recientes identificadas por CISA, desglosaremos su impacto potencial y proporcionaremos estrategias prácticas para mitigar riesgos. Si tu organización depende de tecnologías de automatización y control, esta guía es imprescindible para reforzar tus defensas frente a las crecientes amenazas del panorama digital actual.
Productos y vulnerabilidades destacadas:
1. Automated Logic WebCTRL Premium Server
Funcionalidad:
Sistema para la gestión de edificios inteligentes que controla sistemas de climatización, iluminación y energía en tiempo real.
Vulnerabilidad: Posibilidad de acceso no autenticado que permite a atacantes alterar la configuración del sistema o acceder a información sensible.
Método de explotación: Solicitudes maliciosas dirigidas al servidor, explotando la falta de validación de entradas.
Mitigación:
• Actualizar el servidor a la última versión.
• Implementar autenticación multifactor.
• Configurar firewalls para restringir el acceso a la interfaz administrativa desde redes no confiables.
2. Biblioteca OSCAT Basic
Funcionalidad: Biblioteca de código abierto utilizada en sistemas de automatización para operaciones matemáticas y lógicas.
Vulnerabilidad: Fallas en el código que permiten la ejecución de código arbitrario.
Método de explotación: Inyección de código malicioso en funciones específicas, comprometiendo el comportamiento lógico del sistema.
Mitigación:
• Aplicar actualizaciones y parches disponibles para la biblioteca.
• Validar las entradas de datos en las aplicaciones que la utilizan.
• Revisar regularmente las configuraciones de seguridad de los sistemas dependientes de OSCAT Basic.
3. Schneider Electric Modicon M340, MC80 y Momentum Unity M1E
Funcionalidad: PLCs utilizados en procesos industriales automatizados y sistemas de infraestructura crítica.
Vulnerabilidad: Desbordamientos de búfer y validaciones insuficientes que permiten ejecución remota de código y denegación de servicio.
Método de explotación: Envío de paquetes malformados o diseñados específicamente para explotar las vulnerabilidades.
Mitigación:
• Actualizar el firmware a la última versión proporcionada por Schneider Electric.
• Segmentar las redes industriales para limitar el acceso a dispositivos críticos.
• Implementar controles de acceso y monitoreo en redes industriales.
4. Schneider Electric EcoStruxure IT Gateway
Funcionalidad: Monitoreo y gestión en tiempo real de entornos de TI, integrando datos de infraestructura física con plataformas de software.
Vulnerabilidad: Credenciales predeterminadas y autenticación débil permiten acceso no autorizado y manipulación de datos.
Método de explotación: Uso de credenciales predeterminadas o mal gestionadas para acceder al sistema y modificar configuraciones.
Mitigación:
• Cambiar las credenciales predeterminadas inmediatamente después de la instalación.
• Habilitar autenticación multifactor.
• Limitar el acceso a través de redes confiables utilizando firewalls y listas de control de acceso (ACLs).
5. Schneider Electric PowerLogic Serie PM5300
Funcionalidad: Dispositivo de medición de parámetros eléctricos utilizados para optimizar el uso de energía.
Vulnerabilidad: Falta de cifrado en las comunicaciones permite ataques de tipo Man-in-the-Middle (MITM).
Método de explotación: Intercepción y modificación de datos transmitidos entre el dispositivo y otros sistemas.
Mitigación:
• Implementar protocolos de comunicación cifrados como TLS.
• Configurar autenticación en el dispositivo y las conexiones de red.
• Monitorear regularmente el tráfico de red en busca de actividades sospechosas.
6. mySCADA myPRO Manager
Funcionalidad: Plataforma de supervisión y control para sistemas industriales, con capacidades de visualización y gestión remota.
Vulnerabilidad: Fallas en la interfaz web permiten inyecciones SQL y scripts entre sitios (XSS).
Método de explotación: Ataques a través de entradas no validadas en la interfaz web.
Mitigación:
• Actualizar el software a la última versión.
• Validar y sanitizar todas las entradas de usuario.
• Restringir el acceso a la interfaz web mediante controles de acceso y autenticación multifactor.
7. Schneider Electric Modicon M340, MC80 y Momentum Unity M1E
Funcionalidad:
Estos controladores lógicos programables (PLCs) son esenciales en la automatización industrial, gestionando procesos críticos en sectores como la manufactura, energía y tratamiento de aguas.
Vulnerabilidad:
Se identificaron múltiples vulnerabilidades que podrían permitir a un atacante ejecutar código de forma remota o causar una denegación de servicio, comprometiendo la operación del sistema.
Método de explotación:
Un atacante podría enviar paquetes malformados o especialmente diseñados a los dispositivos, explotando desbordamientos de búfer o validaciones insuficientes, lo que resultaría en la ejecución de código arbitrario o en condiciones de denegación de servicio.
Mitigación:
• Actualizar el firmware de los dispositivos a las versiones más recientes proporcionadas por Schneider Electric.
• Implementar segmentación de red para aislar los PLCs de redes no confiables.
• Configurar controles de acceso estrictos y monitorear el tráfico de red en busca de actividades sospechosas.
Estas vulnerabilidades resaltan la importancia de mantener actualizados los sistemas de control industrial y de implementar medidas de seguridad robustas. Es esencial que las organizaciones revisen detalladamente los avisos emitidos por CISA y apliquen las mitigaciones recomendadas para proteger sus infraestructuras críticas de posibles amenazas.
Muy interesante y instructivo. Gracias!