Conclusiones clave Cyble destaca ocho vulnerabilidades importantes que afectan a los sistemas de control industrial (ICS), según lo revelado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Entre los problemas críticos identificados, CVE-2024-45032, que afecta a Siemens Industrial Edge Management, se destaca debido a su puntuación CVSS crítica de 10. La explotación de este error no requiere permisos ni interacción del usuario. Los principales proveedores afectados por estas vulnerabilidades incluyen Rockwell Automation, Siemens y Viessmann Climate Solutions. Varias vulnerabilidades críticas que afectan a Viessmann Vitogate 300 tienen un alto riesgo de explotación debido a la disponibilidad de una prueba de concepto y la exposición a Internet del producto registrada por el motor de búsqueda de Internet de las cosas de Cyble, ODIN. La semana pasada, los avisos de la CISA de EE. UU. revelaron múltiples vulnerabilidades que afectan a Sinema Remote Connect de Siemens. Los investigadores de Cyble que usan ODIN descubrieron más de 1000 instancias expuestas a Internet que podrían convertirse en objetivos para los atacantes en un futuro cercano. También se ha detectado una vulnerabilidad crítica de omisión de autorización (CVE-2024-45032) en Industrial Edge Management de Siemens, y el escáner ODIN de Cyble ha detectado más de 52 instancias orientadas a Internet. Descripción general Cyble Research and Intelligence Labs (CRIL) ha observado múltiples vulnerabilidades en su Informe semanal de inteligencia sobre vulnerabilidades del sistema de control industrial (ICS). Este informe proporciona una descripción general completa de las vulnerabilidades críticas reveladas del 10 al 16 de septiembre. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió 29 avisos de seguridad relacionados con los sistemas de control industrial (ICS) la semana pasada. Estos avisos destacan ocho vulnerabilidades significativas en productos de varios proveedores, incluidos Rockwell Automation, Siemens y Viessmann Climate Solutions. Las vulnerabilidades clave incluyen problemas de inyección de comandos y desbordamiento basado en montón que podrían afectar gravemente a la infraestructura crítica. Las principales vulnerabilidades de ICS de la semana 1. CVE-2024-45824: Inyección de comandos – Rockwell Automation CVE-2024-45824 es una vulnerabilidad crítica que se encuentra en Rockwell Automation FactoryTalk View Site Edition hasta la versión 14.0. La vulnerabilidad involucra una funcionalidad no especificada con una puntuación CVSS de 9.8, lo que indica su gravedad. Para explotar esta vulnerabilidad se requieren condiciones de red, pero no se requieren permisos ni interacción del usuario y se considera que tiene una dificultad baja de explotación. Mitigación: Actualizar el software afectado elimina la vulnerabilidad. Utilice las capacidades de ODIN para determinar si los dispositivos están expuestos y protéjalos en consecuencia. 2. CVE-2024-35783: Ejecución con privilegios innecesarios – Siemens Se ha identificado una vulnerabilidad crítica con una puntuación CVSS de 9,1 en Siemens SIMATIC BATCH, SIMATIC Information Server (2020, 2022), SIMATIC PCS 7, SIMATIC Process Historian (2020, 2022) y SIMATIC WinCC (Runtime Professional, SCADA Software). Esta falla, que se encuentra en el componente DB Server, permite la explotación en condiciones de red con baja dificultad pero requiere altos privilegios. Mitigación: Actualizar el software afectado elimina la vulnerabilidad. 3. CVE-2023-44373: Neutralización inadecuada de elementos especiales – Siemens CVE-2023-44373 se refiere a una vulnerabilidad en los dispositivos Siemens donde los campos de entrada no se desinfectan correctamente, lo que permite a un atacante remoto autenticado con privilegios administrativos inyectar código u obtener acceso al shell raíz explotando la neutralización inadecuada de elementos especiales, lo que esencialmente permite un ataque de inyección de comandos debido a la falta de validación de entrada del lado del servidor. Los dispositivos afectados incluyen Siemens RUGGEDCOM y la familia SCALANCE M-800/S615. Mitigación: Actualice a la última versión de firmware, específicamente la versión 3.0.2 o superior. 4. CVE-2024-45032: Omisión de autorización – Siemens Industrial Edge Management Siemens Industrial Edge Management Pro e Industrial Edge Management Virtual han identificado una vulnerabilidad crítica en el componente Device Token Handler. Esta falla permite a los atacantes omitir la autorización. La vulnerabilidad tiene una puntuación CVSS de 10.0, lo que indica su gravedad. La explotación es factible en una red con baja dificultad, sin requerir permisos ni interacción del usuario. Mitigación: es necesario actualizar los sistemas afectados para mitigar este problema. Industrial Edge Management Pro: versión 1.9.5 y posteriores Industrial Edge Management Virtual: versión 2.3.1-1 y posteriores 5. CVE-2023-46850: Uso después de la liberación: Siemens Esta vulnerabilidad en OpenVPN (versiones 2.6.0 a 2.6.6) es un problema de uso después de la liberación, que puede provocar un comportamiento indefinido, fugas de memoria o ejecución remota de código cuando los búferes de red se envían a un par remoto. La puntuación CVSS es 9,8, lo que indica una gravedad crítica. La explotación requiere acceso a la red, pero no permisos especiales ni interacciones del usuario. Mitigación: la forma más eficaz de mitigar CVE-2023-46850 es instalar las últimas actualizaciones de software de Siemens, que contienen las correcciones necesarias. 6. CVE-2024-33698: Desbordamiento de búfer basado en montón: componentes de gestión de usuarios de Siemens CVE-2024-33698 es una vulnerabilidad crítica en varios productos de Siemens, incluidos SIMATIC Information Server 2022 y 2024, SIMATIC PCS neo, SINEC NMS y Totally Integrated Automation Portal. El problema reside en los componentes de gestión de usuarios (UMC) y se clasifica como un desbordamiento de búfer basado en montón. Esta vulnerabilidad tiene una puntuación CVSS de 9,8, lo que indica su alta gravedad. Para explotar esta vulnerabilidad se requiere acceso a la red, pero no permisos especiales ni interacción del usuario. Mitigación y solución alternativa: Siemens ha identificado las siguientes soluciones alternativas y mitigaciones específicas que los clientes pueden aplicar para reducir el riesgo: CVE-2024-33698: Filtrar los puertos 4002 y 4004 para aceptar solo conexiones hacia/desde las direcciones IP de las máquinas que ejecutan UMC y son parte de la red UMC, por ejemplo, con un firewall externo Además, si no se utilizan máquinas de servidor RT, el puerto 4004 se puede filtrar por completo. Las correcciones o mitigaciones específicas del producto se pueden encontrar en la sección Productos afectados y solución. 7. CVE-2023-45852: Inyección de comandos: Viessmann Climate Solutions SE CVE-2023-45852 es una vulnerabilidad de inyección de comandos en el firmware Viessmann Vitogate 300 (versión 2.1.3.0). Un atacante no autenticado puede explotar esta vulnerabilidad inyectando metacaracteres de shell en el parámetro ipaddr en los datos JSON para el método put en el punto final /cgi-bin/vitogate.cgi. Esto permite al atacante eludir la autenticación y ejecutar comandos arbitrarios, lo que potencialmente compromete el sistema. La vulnerabilidad tiene una puntuación CVSS de 9,8, lo que indica un nivel de gravedad crítico. No se requiere interacción del usuario ni permisos específicos para explotar esta falla, y se puede explotar en una red con baja dificultad. Mitigación: Actualice a la última versión para solucionar el problema. 8. CVE-2023-5222: Uso de credenciales codificadas de forma rígida – Viessmann Climate Solutions SE Existe una vulnerabilidad crítica (puntuación CVSS: 9,8) en el firmware de Viessmann Vitogate 300 hasta la versión 2.1.3.0, específicamente en la función isValidUser del componente /cgi-bin/vitogate.cgi dentro de la interfaz de administración web. Esta vulnerabilidad se debe al uso de una contraseña codificada, lo que la hace explotable en la red con baja dificultad y sin necesidad de interacción o permisos del usuario. Los detalles públicos de la explotación están disponibles. El proveedor no ha respondido a los intentos de divulgación. Conclusión La distribución de la gravedad de las vulnerabilidades de ICS muestra un predominio de problemas críticos y de alta gravedad en productos que pertenecen a proveedores de ICS conocidos. La mayoría de los productos afectados provienen de proveedores como Siemens y Rockwell Automation. Esto requiere una respuesta rápida para mitigar los posibles impactos en los sistemas de control industrial. Las organizaciones deben priorizar la aplicación de parches a estas vulnerabilidades, implementar medidas de seguridad sólidas y seguir las mejores prácticas recomendadas para proteger sus entornos de ICS de posibles amenazas. Las actualizaciones periódicas, el monitoreo de seguridad y la gestión proactiva de riesgos son esenciales para mantener la integridad y la seguridad de la infraestructura crítica. Recomendaciones para la mitigación Implemente la segmentación de la red para separar las redes de ICS de las redes corporativas y de Internet. Utilice firewalls y zonas desmilitarizadas (DMZ) para controlar el tráfico y limitar la exposición. Aplique la autenticación multifactor para el acceso al sistema ICS. Limite los permisos de usuario según el principio del mínimo privilegio para minimizar el daño potencial. Mantenga todo el hardware y software de ICS actualizado con los últimos parches para protegerse contra vulnerabilidades conocidas. La aplicación regular de parches es crucial para mantener la seguridad del sistema. Implemente herramientas integrales de monitoreo de seguridad para detectar y alertar sobre actividades sospechosas. Mantenga registros detallados para investigaciones forenses y respuesta a incidentes. Desarrolle un plan de respuesta a incidentes sólido adaptado a los entornos de ICS. Pruebe y actualice regularmente el plan para garantizar una respuesta eficaz a los incidentes de seguridad. Capacite al personal sobre los riesgos de seguridad específicos de ICS y las mejores prácticas. El conocimiento de las amenazas potenciales y los ataques de ingeniería social es esencial para mantener la seguridad. Utilice métodos de acceso remoto seguros, como VPN y cifrado sólido. Minimice el acceso remoto directo y monitoree las sesiones remotas para detectar posibles amenazas. Revise y actualice continuamente las políticas de seguridad para adaptarse a las amenazas y los cambios en evolución en el entorno de ICS. Asegúrese de estar alineado con las mejores prácticas de la industria y los requisitos regulatorios. Realice evaluaciones de vulnerabilidad y pruebas de penetración para identificar y abordar las debilidades en los sistemas de ICS. Las evaluaciones regulares son vitales para la gestión proactiva de la seguridad.