Redes industriales expuestas a través de tecnología operativa basada en la nube - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Redes industriales expuestas a través de tecnología operativa basada en la nube

Hola otra vez. Yo soy Eduardo Arroyo y hoy te voy a contar sobre Redes industriales expuestas a través de tecnología operativa basada en la nube

Redes industriales expuestas a través de tecnología operativa basada en la nube

Las vulnerabilidades críticas de ICS pueden explotarse a través de las principales plataformas de gestión de la nube.

Los beneficios de usar una plataforma de administración basada en la nube para monitorear y configurar dispositivos de sistemas de control industrial (ICS) son obvios: eficiencia, ahorro de costos y mejores diagnósticos para empezar. Pero una nueva investigación ha encontrado vulnerabilidades críticas en estas plataformas que podrían usarse para paralizar las operaciones si no se mitigan.

Un análisis El nuevo equipo de investigación team82 de Claroty descubrió vulnerabilidades sorprendentes en los sistemas industriales CODESYS y WAGO, que utilizan la automatización basada en la nube para tecnología operativa (OT), un segmento a menudo denominado «Industria 4.0».

CODESYS ha desarrollado una plataforma basada en la nube llamada Automation Server para administrar de forma remota los controladores lógicos programables (PLC), que son las computadoras involucradas en la administración de equipos industriales físicos. Los ingenieros de OT que utilizan Automation Server pueden descargar la lógica y configurar sus PLC a través de la consola de administración de Automation Server basada en la nube.

Mientras tanto, WAGO PFC100 / 200 es una serie de PLC que hacen un uso intensivo del tiempo de ejecución de CODESYS y la mayor parte de la comunicación, configuración y programación de estos PLC se realiza a través de la plataforma CODESYS. Estos dispositivos también pueden ser administrados por la plataforma CODESYS Automation Server y los ingenieros pueden descargarles la lógica de forma remota.

Las vulnerabilidades, si se explotan, pueden tener consecuencias graves, incluido el control de los equipos y las operaciones industriales.

«Una vulnerabilidad en un dispositivo de nivel 0/1, como un PLC, puede explotarse para lanzar ataques dirigidos a un sistema de gestión basado en la nube», dice el informe Team82. «Y lo contrario también es cierto: las debilidades de la plataforma en la nube y sus periféricos pueden poner a un atacante en el asiento del conductor para el acceso incontrolado a dispositivos de campo y procesos industriales».

Los analistas encontraron tres vulnerabilidades en los productos CODESYS:

  • Gateway V3 (CVE-2021-29241)
  • Administrador de paquetes (CVE-2021-29240)
  • Servidor de automatización (CVE-2021-29240)

También encontraron cuatro errores en dos sistemas WAGO:

  • WAGO PFC iocheckd (CVE-2021-34566, CVE-2021-34567 y CVE-2021-34568)
  • Herramientas de diagnóstico WAGO PFC (CVE-2021-34569)

Fuente: Claroty.

Son posibles varios tipos de exploits, pero Claroty ha informado un par de notas. En una prueba de concepto, pudieron modificar un paquete CODESYS Package Designer para recuperar las credenciales de la nube de un usuario; el ataque implica socialmente diseñar a un usuario conectado para instalarlo.

«La vulnerabilidad que explotamos se debe a la falta de verificación de la fuente del paquete y su contenido», según el informe. «Esto hace que sea trivial crear un paquete CODESYS de aspecto legítimo que ejecute código malicioso».

El ataque permitiría el acceso a la consola de administración basada en la nube de CODESYS, desde la cual los adversarios pueden explotar aún más cualquier PLC administrado conectado a la consola.

«Lo más simple que pueden hacer los atacantes es modificar o incluso interrumpir la lógica que se ejecuta actualmente en los PLC administrados», dijeron los investigadores. “Por ejemplo, un atacante podría interrumpir un programa de PLC encargado de regular la temperatura de la línea de producción o cambiar la velocidad de la centrífuga como en el caso de Stuxnet. Este tipo de ataques podría provocar daños reales y afectar los tiempos de producción y la disponibilidad «.

Además, los investigadores pudieron lograr la ejecución remota de código previamente autenticado en el dispositivo WAGO, utilizando dos vulnerabilidades en el protocolo iocheckd: CVE-2021-34566 y CVE-2021-34567. Según el análisis, el encadenamiento de los exploits les permitió atacar de forma remota el dispositivo e implantar un webshell para más interacciones y ejecución de comandos.

«La última investigación de Team82 fue motivada por la realidad de que las organizaciones en la era de la Industria 4.0 están incorporando tecnología de nube en su OT e Internet de las cosas industrial (IIoT) para una administración simplificada, una mejor continuidad del negocio y un mejor análisis del rendimiento», Amir Preminger, vicepresidente de investigación, le dijo a Claroty. «Para aprovechar plenamente estos beneficios, las organizaciones deben implementar estrictas medidas de seguridad para proteger los datos en tránsito y en reposo y bloquear los permisos».

A la caza de errores de seguridad industrial

Tanto los equipos de seguridad como los atacantes están buscando activamente este tipo de brechas de seguridad en las redes industriales. El devastador ataque de ransomware de mayo en el Colonial Pipeline afectó el nivel de OT, por ejemplo, al cortar el suministro de combustible a la mayor parte de la costa este de los Estados Unidos.

La semana pasada, se informó que los controladores lógicos programables (PLC) de Schneider Electric utilizados en la fabricación, la automatización de edificios y la atención médica tenían vulnerabilidades que permitían a los atacantes obtener el control a nivel de raíz.

Y hay pequeños indicios de que el fenómeno de las vulnerabilidades críticas emergentes se está desacelerando pronto. A principios de este año, Claroty publicó una investigación que mostró un aumento del 33% en las divulgaciones de ICS desde 2018 y advirtió que incluso los sistemas heredados, ahora administrados en la nube, están llenos de agujeros de seguridad.

«A medida que madura la investigación sobre la vulnerabilidad de ICS y SCADA, todavía quedan por descubrir muchos problemas de seguridad de décadas de antigüedad», explica el informe de febrero de Claroty. «Por ahora, los atacantes pueden tener una ventaja al explotarlos, porque los defensores a menudo se ven obstaculizados por los requisitos de tiempo de actividad y la creciente necesidad de capacidades de detección de defectos explotables que podrían conducir a la interrupción o manipulación del proceso».

Por su parte, WAGO y CODESYS respondieron rápidamente con mitigaciones y parches para todas las vulnerabilidades reportadas.

«Agradecemos a los equipos de CODESYS y WAGO por su rápida respuesta, actualizaciones y mitigaciones en beneficio de sus clientes y del dominio ICS», dijo Preminger.

.

Puedes compartir en tu Facebook para que tus colegas lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *