El último informe de Cyble revela vulnerabilidades críticas de ICS, incluida CVE-2023-34873 en cámaras MOBOTIX, lo que destaca las preocupaciones de seguridad urgentes para agosto de 2024. Conclusiones clave Cyble destaca cinco vulnerabilidades significativas que afectan a los sistemas de control industrial (ICS), según lo revelado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Entre los problemas críticos identificados, CVE-2023-34873, que afecta a las cámaras MOBOTIX, se destaca debido a su alta puntuación CVSS v4 de 8,7 y su potencial para la ejecución remota de código. Los principales proveedores afectados por estas vulnerabilidades incluyen Rockwell Automation y Avtec. Los productos Emulate3D y 5015 – AENFTXT de Rockwell Automation, así como Outpost 0810 y Uploader Utility de Avtec, se han destacado por sus fallas críticas. Las vulnerabilidades tienen amplias implicaciones para los sectores de infraestructura crítica a nivel mundial, lo que enfatiza la necesidad de una acción inmediata para mitigar los riesgos. Por ejemplo, las vulnerabilidades de Rockwell Automation afectan a sectores de fabricación críticos en todo el mundo. El escáner ODIN de Cyble ha identificado 202 cámaras MOBOTIX expuestas, predominantemente en Alemania, lo que subraya la amplia superficie de ataque y la necesidad de parches y evaluaciones de seguridad rápidas. La mayoría de las vulnerabilidades reveladas se clasifican como de alta gravedad, lo que resalta su naturaleza crítica y la importancia de priorizar los parches y las medidas de seguridad. Descripción general Cyble Research and Intelligence Labs (CRIL) ha observado múltiples vulnerabilidades con su Informe semanal de inteligencia de vulnerabilidades del sistema de control industrial (ICS). Este informe proporciona una descripción general completa de las vulnerabilidades críticas reveladas desde el 20 de agosto de 2024 hasta el 26 de agosto de 2024. La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió cuatro avisos críticos relacionados con los sistemas de control industrial (ICS). Estos avisos destacan cinco vulnerabilidades significativas en productos de varios proveedores, incluidos Rockwell Automation, Avtec y MOBOTIX. Las vulnerabilidades clave incluyen ejecución remota de código y problemas de validación de entrada incorrecta que podrían tener graves implicaciones para la infraestructura crítica. En particular, la vulnerabilidad de validación de entrada incorrecta (CVE-2023-34873) en las cámaras MOBOTIX se ha identificado como una preocupación de alta prioridad debido a su potencial para la ejecución remota de código. Las principales vulnerabilidades de ICS de la semana 1. CVE-2023-34873: Validación de entrada incorrecta en cámaras MOBOTIX El 22 de agosto de 2024, MOBOTIX publicó una alerta sobre CVE-2023-34873, una vulnerabilidad crítica que afecta a los modelos de cámara P3 y Mx6. Esta falla, calificada como CVSS v4 8.7, se debe a la neutralización incorrecta de los delimitadores de expresión/comando. Permite a un atacante con autenticación ejecutar código de forma remota explotando la funcionalidad tcpdump de las versiones de cámara afectadas. El escáner ODIN de Cyble identificó 202 cámaras MOBOTIX expuestas, predominantemente en Alemania. Mitigación: Los usuarios deben revisar las versiones de firmware enumeradas en el aviso de MOBOTIX y aplicar los parches necesarios de inmediato. Utilice las capacidades de ODIN para determinar si los dispositivos están expuestos y protéjalos según corresponda. 2. CVE-2024-6079: vulnerabilidad crítica en Emulate3D de Rockwell Automation Emulate3D de Rockwell Automation (versión 17.00.00.13276) ha sido identificado con CVE-2024-6079, una vulnerabilidad crítica con una puntuación CVSS v4 de 5,4. La falla implica una referencia controlada externamente a un recurso en otra esfera, lo que lleva a un posible secuestro de DLL y ejecución remota de código. Este problema afecta a sectores de fabricación críticos a nivel mundial. Mitigación: Rockwell Automation recomienda actualizar a la versión 17.00.00.13348. Además, los usuarios deben implementar las mejores prácticas de seguridad, como reducir la exposición de la red con firewalls y proteger el acceso remoto a través de VPN. 3. CVE-2024-6089: Falla de validación de entrada en 5015 – AENFTXT de Rockwell Automation CVE-2024-6089, encontrada en 5015 – AENFTXT de Rockwell Automation (versión 2.011), es una vulnerabilidad crítica con una puntuación CVSS v4 de 8,7. Esta falla implica una validación de entrada incorrecta que puede causar una condición de denegación de servicio, que requiere un ciclo de energía para recuperarse. Afecta a los módulos de E/S FLEXHA 5000 utilizados en sectores de fabricación críticos. Mitigación: Actualice a la versión de firmware 2.012 para abordar esta vulnerabilidad. Siga las mejores prácticas de seguridad y considere la categorización de vulnerabilidades específicas de las partes interesadas para la priorización. 4. CVE-2024-39776: almacenamiento inseguro de datos en Avtec’s Outpost 0810 Avtec’s Outpost 0810 y Uploader Utility han sido marcados con CVE-2024-39776, una vulnerabilidad que involucra el almacenamiento inseguro de datos confidenciales, y CVE-2024-42418, relacionada con el uso de una clave criptográfica codificada de forma rígida. Ambas vulnerabilidades están clasificadas como CVSS v4 8.7 y podrían permitir a atacantes remotos obtener acceso administrativo. Mitigación: Avtec recomienda actualizar a la versión 5.0.0 e implementar medidas como asegurar las interfaces web y revisar el firmware Scout asociado. CISA recomienda minimizar la exposición de la red y emplear métodos de acceso remoto seguro. Conclusión La distribución de la gravedad de las vulnerabilidades de ICS muestra un predominio de problemas de alta gravedad. Esta distribución resalta la naturaleza crítica de abordar estas vulnerabilidades rápidamente para mitigar los posibles impactos en los sistemas de control industrial. La mayoría de los productos afectados provienen de proveedores como Rockwell Automation y MOBOTIX, lo que enfatiza la importancia de las medidas de seguridad proactivas y las actualizaciones oportunas. Las organizaciones deben priorizar la aplicación de parches a estas vulnerabilidades, implementar medidas de seguridad sólidas y seguir las mejores prácticas recomendadas para proteger sus entornos ICS de posibles amenazas. Las actualizaciones periódicas, el monitoreo de seguridad y la gestión proactiva de riesgos son esenciales para mantener la integridad y la seguridad de la infraestructura crítica. Recomendaciones para la mitigación Implemente la segmentación de la red para separar las redes ICS de las redes corporativas y de Internet. Utilice firewalls y zonas desmilitarizadas (DMZ) para controlar el tráfico y limitar la exposición. Aplique la autenticación multifactor para el acceso al sistema ICS. Limite los permisos de usuario según el principio del mínimo privilegio para minimizar el daño potencial. Mantenga todo el hardware y software ICS actualizado con los últimos parches para protegerse contra vulnerabilidades conocidas. La aplicación regular de parches es crucial para mantener la seguridad del sistema. Implemente herramientas integrales de monitoreo de seguridad para detectar y alertar sobre actividades sospechosas. Mantenga registros detallados para investigaciones forenses y respuesta a incidentes. Desarrolle un plan de respuesta a incidentes sólido adaptado a los entornos ICS. Pruebe y actualice periódicamente el plan para garantizar una respuesta eficaz a los incidentes de seguridad. Capacite al personal sobre los riesgos de seguridad específicos de los ICS y las mejores prácticas. El conocimiento de las posibles amenazas y los ataques de ingeniería social es esencial para mantener la seguridad. Utilice métodos de acceso remoto seguro, como VPN y cifrado sólido. Minimice el acceso remoto directo y supervise las sesiones remotas para detectar posibles amenazas. Revise y actualice continuamente las políticas de seguridad para adaptarse a las amenazas y los cambios en el entorno de los ICS. Asegúrese de que estén alineadas con las mejores prácticas de la industria y los requisitos normativos. Realice evaluaciones de vulnerabilidad y pruebas de penetración para identificar y abordar las debilidades en los sistemas de ICS. Las evaluaciones periódicas son vitales para la gestión proactiva de la seguridad.