Kaspersky combate fallos graves en software de sistemas industriales

Investigadores de Kaspersky ICS CERT han detectado diversas vulnerabilidades en un conocido framework utilizado para el desarrollo de dispositivos industriales tales como Controladores Lógicos Programables (PLC) o Interfaces Hombre Máquina (HMI). Estos dispositivos son el núcelo de muchas instalaciones industriales – desde infraestructuras críticas hasta procesos de producción. Las vulnerabilidades descubiertas permitían potencialmente que los ciberdelincuentes efectuaran ataques destructivos tanto locales como en remoto a la organización en la que se utilizaban los PLC desarrollados a través de este framework vulnerable. El framework fue desarrollado por CODESYS y las vulnerabilidades fueron eliminadas por la compañía tras reportarlo Kaspersky.

Los PLC son dispositivos que automatizan procesos que anteriormente tenían que ejecutarse de forma manual o con la ayuda de complejos dispositivos electromecánicos. Para que funcione correctamente un PLC, es necesario programar estos dispositivos, una tarea que se realiza a través de un framework de software específico que ayuda a los ingenieros a codificar y cargar en el PLC instrucciones del programa de automatización de procesos. En este proceso también se incluye un entorno para el tiempo de ejecución del código PLC. El software se utiliza en diversos entornos, como la producción, la generación de energía, las infraestructuras para smartcities, entre otros. Los investigadores de Kaspersky descubrieron que este software podía volverse vulnerable e interferir con el.

Los investigadores analizaron una potente y sofisticada herramienta diseñada para desarrollar y controlar programas PLC. Como resultado, pudieron identificar más de una docena de fallos de seguridad en el protocolo de red principal y el entorno de ejecución del framework, cuatro de los cuales fueron identificados como de gravedad y se les asignaron códigos de identificación individuales.

Según cómo se exploten estos fallos, los atacantes podrían interceptar y forzar fallos en el comando de la red y los datos de telemetría, robar y reutilizar las claves y otra información de autenticación, inyectar código malicioso en el entorno de ejecución y elevar los privilegios del atacante en el sistema así como otras acciones no autorizadas. Todas estas acciones podrían realizarse sin que se detecte la presencia del atacante en la red. En la práctica, esto significa que un atacante podría o corromper la funcionalidad de los PLC en una instalación en concreto u obtener el control absoluto, manteniéndose siempre fuera del radar del personal de las reponsable de las TO en las instalaciones. De esta forma, podrían interrumpir las operaciones o robar datos sensibles, entre los que se incluyen la propiedad intelectual u otra información confidencial como, por ejemplo, la capacidad de producción de la fábrica o nuevos productos en proceso de desarrollo. Asimismo, podrían supervisar las operaciones de las instalaciones y recopilar otros datos de inteligencia que pudieran considerarse sensibles dentro de la organización que está siendo atacada.