NoticiasCiberseguridad

Kaspersky combate fallos graves en software de sistemas industriales

La compañía de ciberseguridad ayuda a eliminar estas vulnerabilidades en software automatizado después de que le fueran reportadas.

Investigadores de Kaspersky ICS CERT han detectado diversas vulnerabilidades en un conocido framework utilizado para el desarrollo de dispositivos industriales tales como Controladores Lógicos Programables (PLC) o Interfaces Hombre Máquina (HMI). Estos dispositivos son el núcelo de muchas instalaciones industriales – desde infraestructuras críticas hasta procesos de producción. Las vulnerabilidades descubiertas permitían potencialmente que los ciberdelincuentes efectuaran ataques destructivos tanto locales como en remoto a la organización en la que se utilizaban los PLC desarrollados a través de este framework vulnerable. El framework fue desarrollado por CODESYS y las vulnerabilidades fueron eliminadas por la compañía tras reportarlo Kaspersky.

Los PLC son dispositivos que automatizan procesos que anteriormente tenían que ejecutarse de forma manual o con la ayuda de complejos dispositivos electromecánicos. Para que funcione correctamente un PLC, es necesario programar estos dispositivos, una tarea que se realiza a través de un framework de software específico que ayuda a los ingenieros a codificar y cargar en el PLC instrucciones del programa de automatización de procesos. En este  proceso también se incluye un entorno para el tiempo de ejecución del código PLC. El software se utiliza en diversos entornos, como la producción, la generación de energía, las infraestructuras para smartcities, entre otros. Los investigadores de Kaspersky descubrieron que este software podía volverse vulnerable e interferir con el.

Los investigadores analizaron una potente y sofisticada herramienta diseñada para desarrollar y controlar programas PLC. Como resultado, pudieron identificar más de una docena de fallos de seguridad en el protocolo de red principal y el entorno de ejecución del framework, cuatro de los cuales fueron identificados como de gravedad y se les asignaron códigos de identificación individuales.

Según cómo se exploten estos fallos, los atacantes podrían interceptar y forzar fallos en el comando de la red y los datos de telemetría, robar y reutilizar las claves y otra información de autenticación, inyectar código malicioso en el entorno de ejecución y elevar los privilegios del atacante en el sistema así como otras acciones no autorizadas. Todas estas acciones podrían realizarse sin  que se detecte la presencia del atacante en la red. En la práctica, esto significa que un atacante podría o corromper la funcionalidad de los PLC en una instalación en concreto u obtener el control absoluto, manteniéndose siempre fuera del radar del personal de las reponsable de las TO en las instalaciones. De esta forma, podrían interrumpir las operaciones o robar datos sensibles, entre los que se incluyen la propiedad intelectual u otra información confidencial como, por ejemplo, la capacidad de producción de la fábrica o nuevos productos en proceso de desarrollo. Asimismo, podrían supervisar las operaciones de las instalaciones y recopilar otros datos de inteligencia que pudieran considerarse sensibles dentro de la organización que está siendo atacada.

Combatir los riesgos

  • Se recomienda a los desarrolladores que utilizan el framework que soliciten la versión actualizada y actualicen el firmware para los dispositivos en caso de que hayan sido desarrollados con la ayuda de este framework
  • Se recomienda a los ingenieros industriales que consideren actualizar el firmware en sus dispositivos en los procedimientos de gestión de parches de su empresa en caso de que el dispositivo se haya desarrollado  con la ayuda de este framework y si el desarrollador del dispositivo hubiera emitido una actualización relevante de su producto
  • Los dispositivos en los que se despliegan entornos de desarrollo y/o SCADA deben estar equipados con una protección relevante
  • Los dispositivos que se utilicen en entornos industriales deben funcionar a través de una red aislada y limitada
  • Hasta que no se hayan aplicado los parches de firmware, los equipos de seguridad que protegen las redes industriales deben pensar en la posibilidad de desplegar medidas específicas, tales como soluciones de detección para ataques dirigidos, monitorización de redes industriales, formación regular en seguridad para el personal de TI y de Tecnología de Operaciones, entre otras
Computing 786