Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Se aprovechan tres nuevos fallos para atacar controladores industriales automatizados
14 de diciembre de 2022 - Equipo de Relaciones Públicas de TuxCare
Los investigadores de Vedere Labs descubrieron recientemente tres nuevos fallos de seguridad en una larga lista de fallos rastreados colectivamente como OT:ICEFALL.
Se dice que los fallos afectan a productos de tecnología operativa (OT) de dos proveedores alemanes, Festo y CODESYS, y pueden utilizarse para atacar controladores industriales automatizados y un popular software utilizado para programar millones de dispositivos inteligentes en infraestructuras críticas, y podrían afectar a fabricantes de dispositivos de diversos sectores industriales.
Estos fallos se rastrean como CVE-2022-4048, y afectan a la versión 3.5.18 de CODESYS V3 y a su manipulación lógica. La vulnerabilidad CVE-2022-3079, que afecta a los controladores CPX-CEC-C1 y CPX-CMXX Codesys V2 de Festo, permite el acceso remoto no autenticado a funciones críticas de la página web, lo que puede provocar una denegación de servicio. CVE-2022-3270 Los controladores de Festo que utilizan el protocolo FGMC permiten el reinicio no autenticado del controlador de red.
Todos ellos apuntan a un enfoque inseguro por diseño, en el que los fabricantes incluyen funciones peligrosas a las que se puede acceder sin autenticación, o a una mala implementación de los controles de seguridad, como la criptografía.
El entorno de ejecución CODESYS V3 proporciona cifrado de aplicaciones para garantizar que el código de descarga y las aplicaciones de arranque estén cifrados. El entorno de ejecución CODESYS es utilizado por cientos de fabricantes de dispositivos de todo el mundo, incluido Festo. Se descubrió que CODESYS V3 anterior a la versión 3.5.18.40 utilizaba una criptografía débil para el código de descarga y las aplicaciones de arranque, lo que permitía a los atacantes descifrar y manipular el código protegido con facilidad mediante la fuerza bruta de las claves de sesión.
Por otra parte, los controladores CPX-CEC-C1 y CPX-CMXX de Festo permiten el acceso remoto no autenticado a funciones críticas de la página web. Cualquiera con acceso de red a un controlador puede navegar a una página web oculta en el sistema de archivos del controlador, haciendo que el controlador se reinicie y causando potencialmente una denegación de servicio.
Además, los controladores de Festo que utilizan el protocolo Festo Generic Multicast (FGMC) permiten reiniciar el controlador sin autenticación y realizar otras operaciones delicadas. La herramienta Festo Field Device Tool, que se comunica a través de FGMC, puede conseguir el mismo efecto. La herramienta PLC Browser, que permite a los operadores emitir comandos, también puede utilizarse para reiniciar los controladores sin necesidad de autenticación.
Recomendaciones para reducir el riesgo Debido a la dificultad de parchear o reemplazar los dispositivos OT debido a su naturaleza de misión crítica, Forescout recomienda que las organizaciones implementen estrategias de mitigación que prioricen la protección de su creciente superficie de ataque basándose en inteligencia de amenazas actualizada.
Además, la investigación descubrió que una serie de dispositivos de Festo, incluidos sus controladores CPX-CEC-C1, se enviaban con configuraciones CODESYS que los hacían vulnerables a un par de fallos de software más antiguos, previamente revelados.
Las fuentes de este artículo incluyen un artículo en SCMedia.
