Investigadores de Kaspersky ICS CERT han detectado diversas vulnerabilidades en un conocido framework utilizado para el desarrollo de dispositivos industriales tales como Controladores Lógicos Programables (PLC) o Interfaces Hombre Máquina (HMI). id:50105
Estos dispositivos son el núcelo de muchas instalaciones industriales – desde infraestructuras críticas hasta procesos de producción. Las vulnerabilidades descubiertas permitían potencialmente que los ciberdelincuentes efectuaran ataques destructivos tanto locales como en remoto a la organización en la que se utilizaban los PLC desarrollados a través de este framework vulnerable. El framework fue desarrollado por CODESYS® y las vulnerabilidades fueron eliminadas por la compañía tras reportarlo Kaspersky.
Los PLC son dispositivos que automatizan procesos que anteriormente tenían que ejecutarse de forma manual o con la ayuda de complejos dispositivos electromecánicos. Para que funcione correctamente un PLC, es necesario programar estos dispositivos, una tarea que se realiza a través de un framework de software específico que ayuda a los ingenieros a codificar y cargar en el PLC instrucciones del programa de automatización de procesos. En este proceso también se incluye un entorno para el tiempo de ejecución del código PLC. El software se utiliza en diversos entornos, como la producción, la generación de energía, las infraestructuras para smartcities, entre otros. Los investigadores de Kaspersky descubrieron que este software podía volverse vulnerable e interferir con el.
Los investigadores analizaron una potente y sofisticada herramienta diseñada para desarrollar y controlar programas PLC. Como resultado, pudieron identificar más de una docena de fallos de seguridad en el protocolo de red principal y el entorno de ejecución del framework, cuatro de los cuales fueron identificados como de gravedad y se les asignaron códigos de identificación individuales: CVE-2018-10612, CVE-2018-20026, CVE-2019-9013, y CVE-2018-20025.
Según cómo se exploten estos fallos, los atacantes podrían interceptar y forzar fallos en el comando de la red y los datos de telemetría, robar y reutilizar las claves y otra información de autenticación, inyectar código malicioso en el entorno de ejecución y elevar los privilegios del atacante en el sistema así como otras acciones no autorizadas. Todas estas acciones podrían realizarse sin que se detecte la presencia del atacante en la red. En la práctica, esto significa que un atacante podría o corromper la funcionalidad de los PLC en una instalación en concreto u obtener el control absoluto, manteniéndose siempre fuera del radar del personal de las reponsable de las TO en las instalaciones. De esta forma, podrían interrumpir las operaciones o robar datos sensibles, entre los que se incluyen la propiedad intelectual u otra información confidencial como, por ejemplo, la capacidad de producción de la fábrica o nuevos productos en proceso de desarrollo. Asimismo, podrían supervisar las operaciones de las instalaciones y recopilar otros datos de inteligencia que pudieran considerarse sensibles dentro de la organización que está siendo atacada.
Al descubrir estas incidencias, Kaspspersky informó de forma inmediata al vendedor del software afectado. Todas las vulnerabilidades detectadas ya han sido solucionadas y los correspondientes parches están disponibles para los usuarios del framework.
Alexander Nochvay, investigador de seguridad en Kaspersky ICS CERT: “Las vulnerabilidades que hemos descubierto proveían una superficie de ataque extremadamente amplia para comportamientos potencialmente maliciosos y, a la vista de la ubicuidad del software en cuestión, agradecemos al fabricante del software su respuesta para solucionar estas incidencias con gran celeridad. Nos gustaría pensar que como consecuencia de esta investigación hemos podido complicar mucho más el trabajo a los atacantes. Sin embargo, muchas de estas vulnerabilidades se hubieran detectado antes si la comunidad de seguridad estuviera involucrada en el desarrollo del protocolo de comunicación de la red desde la fase inicial. Creemos que la colaboración con la comunidad de ciberseguridad debe convertirse en una buena práctica para los desarrolladores de componentes clave para sistemas industriales, tanto a nivel de hardware como de software. Y aún más cuando la llegada de la así llamada Industria 4.0, que se basa en gran medida en tecnologías modernas y automatizadas está a la vuelta de la esquina”.
Roland Wagner, Jefe de Marketing de Producto en CODESYS Group,“La seguridad del producto es de importancia primordial para CODESYS Group. Por tanto, reconocemos la importancia de los resultados de la extensa investigación de Kaspersky, que nos permitirán hacer a CODESYS aún más seguro. Llevamos muchos años invirtiendo un gran esfuerzo tanto a nivel técnico como a nivel administrativo para mejorar las funcionalidades de seguridad de CODESYS. Todas las vulnerabilidades detectadas son inmediatamente investigadas, analizadas, priorizadas y publicadas en un informe de seguridad. Se desarrollan con rapidez los parches en forma de actualizaciones de software y para ponerlos, a continuación, a disposición de todos los usuarios en la tienda de CODESYS”.
Para dar respuesta a los riesgos potenciales que la explotación de este fallo podría generar, los especialistas de Kaspersky recomiendan que se tomen las las siguientes medidas:
- Se recomienda a los desarrolladores que utilizan el framework que soliciten la versión actualizada y actualicen el firmware para los dispositivos en caso de que hayan sido desarrollados con la ayuda de este framework.
- Se recomienda a los ingenieros industriales que consideren actualizar el firmware en sus dispositivos en los procedimientos de gestión de parches de su empresa en caso de que el dispositivo se haya desarrollado con la ayuda de este framework y si el desarrollador del dispositivo hubiera emitido una actualización relevante de su producto.
- Los dispositivos en los que se despliegan entornos de desarrollo y/o SCADA deben estar equipados con una protección relevante.
- Los dispositivos que se utilicen en entornos industriales deben funcionar a través de una red aislada y limitada.
- Hasta que no se hayan aplicado los parches de firmware, los equipos de seguridad que protegen las redes industriales deben pensar en la posibilidad de desplegar medidas específicas, tales como soluciones de detección para ataques dirigidos, monitorización de redes industriales, formación regular en seguridad para el personal de TI y de Tecnología de Operaciones y otras medidas de seguridad necesarias para ofrecer protección ante amenazas sofisticadas.