CISA alerta sobre fallas de software en sistemas de control industrial

La Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA, por sus siglas en inglés) ha advertido a las organizaciones que verifiquen las vulnerabilidades reveladas recientemente que afectan a los dispositivos de tecnología operativa (OT) que deberían, pero no siempre, estar aislados de Internet. 

CISA tiene publicado publicado cinco avisos cubriendo múltiples vulnerabilidades que afectan a los sistemas de control industrial descubiertas por investigadores de Forescout. 

Forescout publicó esta semana su informe "OT:ICEFALL", que cubre un conjunto de problemas de seguridad comunes en el software para dispositivos de tecnología operativa (OT). Los errores que revelaron afectan a dispositivos de Honeywell, Motorola, Siemens y otros. 

OT es un subconjunto de Internet de las cosas (IoT). OT cubre los sistemas de control industrial (ICS) que pueden conectarse a Internet, mientras que la categoría más amplia de IoT incluye artículos de consumo como televisores, timbres y enrutadores. 

Forescout detalló la 56 vulnerabilidades en un solo informe para resaltar estos problemas comunes.

CISA ha publicado cinco Avisos de sistemas de control industrial (ICSA) correspondientes que, según dijo, notifican las vulnerabilidades informadas e identifican las mitigaciones de referencia para reducir los riesgos de estos y otros ataques de ciberseguridad.  

Los avisos incluyen detalles de fallas críticas que afectan al software de JTEKT de Japón, tres fallas que afectan a dispositivos del proveedor estadounidense Phoenix Contact y una que afecta a productos de la firma alemana Siemens.  

El aviso ICSA-22-172-02 para JTEKT TOYOPUC faltan detalles de autenticación y fallas de escalada de privilegios. Estos tienen una calificación de gravedad de 7-2 de 10.

Las fallas que afectan a los dispositivos Phoenix se detallan en los avisos ICSA-22-172-03 para Controladores de línea clásica de Phoenix Contact; ICSA-22-172-04 para Phoenix Contact ProConOS y MULTIPROG; y ICSA-22-172-05: Phoenix Contact Controladores industriales de línea clásica. 

El software de Siemens con vulnerabilidades críticas se detalla en el aviso ICSA-22-172-06 para Siemens WinCC OA. Es un error explotable de forma remota con una puntuación de gravedad de 9.8 sobre 10. 

“La explotación exitosa de esta vulnerabilidad podría permitir que un atacante se haga pasar por otros usuarios o explote el protocolo cliente-servidor sin estar autenticado”, señala CISA.

Los dispositivos OT deben tener espacios de aire en una red, pero a menudo no lo están, lo que brinda a los atacantes cibernéticos sofisticados un escrutinio más amplio para penetrar.  

Las 56 vulnerabilidades identificadas por Forescount se dividieron en cuatro categorías principales, que incluyen protocolos de ingeniería inseguros, criptografía débil o esquemas de autenticación rotos, actualizaciones de firmware inseguras y ejecución remota de código a través de la funcionalidad nativa. 

La firma publicó las vulnerabilidades (CVE) como una colección para ilustrar que las fallas en el suministro de hardware de infraestructura crítica son un problema común.  

“Con OT:ICEFALL, queríamos revelar y proporcionar una descripción cuantitativa de las vulnerabilidades de OT inseguras por diseño en lugar de depender de las ráfagas periódicas de CVE para un solo producto o un pequeño conjunto de incidentes públicos del mundo real que a menudo son descartado como un proveedor en particular o propietario de activos que tiene la culpa”, Forescout dijo. 

“El objetivo es ilustrar cómo la naturaleza opaca y patentada de estos sistemas, la gestión de vulnerabilidad subóptima que los rodea y la sensación de seguridad a menudo falsa que ofrecen las certificaciones complican significativamente los esfuerzos de gestión de riesgos de OT”, dijo.

 tan firme detalles en una entrada de blog, hay algunas fallas comunes que los desarrolladores deben tener en cuenta:

• Abundan las vulnerabilidades inseguras por diseño: Más de un tercio de las vulnerabilidades que encontró (38 %) permiten el compromiso de las credenciales, con la manipulación del firmware en segundo lugar (21 %) y la ejecución remota de código en tercer lugar (14 %). 
• Los productos vulnerables suelen estar certificados: el 74 % de las familias de productos afectadas tienen algún tipo de certificación de seguridad y la mayoría de los problemas de los que advierte deben descubrirse con relativa rapidez durante el descubrimiento de vulnerabilidades en profundidad. Los factores que contribuyen a este problema incluyen un alcance limitado para las evaluaciones, definiciones de seguridad opacas y enfoque en las pruebas funcionales.
• La gestión de riesgos se complica por la falta de CVE: No basta con saber que un dispositivo o protocolo es inseguro. Para tomar decisiones informadas de gestión de riesgos, los propietarios de activos deben saber cómo estos componentes son inseguros. A los problemas considerados como resultado de la inseguridad por diseño no siempre se les han asignado CVE, por lo que a menudo siguen siendo menos visibles y procesables de lo que deberían ser.
• Hay componentes de la cadena de suministro inseguros por diseño: Las vulnerabilidades en los componentes de la cadena de suministro de TO tienden a no ser notificadas por todos los fabricantes afectados, lo que contribuye a las dificultades de la gestión de riesgos.
• No todos los diseños inseguros son iguales: Ninguno de los sistemas analizados admite la firma de lógica y la mayoría (52 %) compila su lógica en código de máquina nativo. El 62% de esos sistemas acepta descargas de firmware a través de Ethernet, mientras que solo el 51% tiene autenticación para esta funcionalidad.
• Las capacidades ofensivas son más factibles de desarrollar de lo que a menudo se imagina.: La ingeniería inversa de un solo protocolo patentado tomó entre 1 día y 2 semanas, mientras que lograr lo mismo para sistemas complejos de múltiples protocolos tomó de 5 a 6 meses.