Puntos clave Alerta de CISA: CISA advierte sobre vulnerabilidades críticas de ICS en productos de Rockwell Automation y Delta Electronics. ThinManager ThinServer: fallas en ThinManager ThinServer de Rockwell Automation (versiones 11.1.0 a 13.2.1) podrían permitir la ejecución de código a nivel de sistema. Sector afectado: Manufactura. Delta DTN Soft: vulnerabilidad en DTN Soft de Delta (versión 2.0.1 y anteriores) permite la ejecución remota de código. Actualización a la versión 2.1. Sector afectado: Energía. FactoryTalk View SE: una falla en FactoryTalk View SE 13.0 de Rockwell Automation permite modificaciones de archivos no autorizadas. Sectores afectados: química, energía y otros. Mitigación: CISA recomienda minimizar la exposición a ICS, asegurar el acceso remoto, actualizar el software e implementar medidas de seguridad en capas. Descripción general El 29 de agosto, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó tres avisos para advertir a los usuarios y administradores de varias vulnerabilidades críticas que afectan a los sistemas de control industrial (ICS) de proveedores destacados. El aviso ICSA-24-242-01 aborda vulnerabilidades en Rockwell Automation ThinManager ThinServer. ICSA-24-242-02 cubre una vulnerabilidad en Delta Electronics DTN Soft. ICSA-24-226-06 advierte a los usuarios sobre una vulnerabilidad en Rockwell Automation FactoryTalk View Site Edition (Actualización A). El informe de vulnerabilidades de ICS de Cyble de la semana pasada analizó vulnerabilidades adicionales en Rockwell y otros productos ICS, además de recomendaciones generales para controlar el riesgo en las redes ICS. Vulnerabilidades de Rockwell Automation ThinManager ThinServer El primer conjunto de vulnerabilidades, divulgado en ICSA-24-242-01, afecta a varias versiones del software ThinManager ThinServer de Rockwell Automation, una herramienta de gestión de clientes. Las fallas, que incluyen administración de privilegios incorrecta, asignación incorrecta de permisos y validación de entrada incorrecta, podrían permitir a los atacantes leer archivos arbitrarios y ejecutar código con privilegios a nivel de sistema. Las versiones afectadas de ThinManager ThinServer van de 11.1.0 a 13.2.1. CISA ha asignado tres identificadores CVE a estas fallas: CVE-2024-7986, CVE-2024-7987 y CVE-2024-7988. Las puntuaciones CVSS v4 para estas vulnerabilidades van de 6.8 a 9.3, lo que indica un nivel de riesgo alto a crítico. Sector de infraestructura crítica afectado: fabricación. Vulnerabilidad DTN Soft de Delta Electronics El segundo aviso, ICSA-24-242-02, se centra en una vulnerabilidad en el software de control de temperatura DTN Soft de Delta Electronics. La falla, un problema de deserialización de datos no confiables (CWE-502), podría permitir a un atacante lograr la ejecución remota de código. La vulnerabilidad afecta a la versión 2.0.1 y anteriores de DTN Soft. CISA ha asignado CVE-2024-8255 a esta falla, con una puntuación CVSS v4 de 8,4. Delta Electronics recomienda actualizar a la última versión, 2.1, para mitigar esta vulnerabilidad. Sector de infraestructura crítica afectado: energía. Vulnerabilidad de FactoryTalk View Site Edition de Rockwell Automation El tercer aviso, ICSA-24-226-06, cubre una vulnerabilidad en FactoryTalk View Site Edition de Rockwell Automation, una aplicación HMI. La falla, una asignación de permiso incorrecta para un recurso crítico (CWE-732), podría permitir a cualquier usuario editar o reemplazar archivos ejecutados con permisos elevados. La versión afectada es FactoryTalk View SE 13.0. CISA ha asignado CVE-2024-7513 a esta vulnerabilidad, con una puntuación CVSS v4 de 8,5. Rockwell Automation recomienda actualizar a una versión más nueva de FactoryTalk para mitigar esta vulnerabilidad. Sector de infraestructura crítica afectado: químico; Instalaciones comerciales; Energía; Instalaciones gubernamentales; fabricación; sistemas de agua y aguas residuales. Consejos de mitigación de CISA Con base en los avisos de CISA para las tres vulnerabilidades del sistema de control industrial (ICS), se proporcionan las siguientes recomendaciones y mitigaciones generales: 1. Minimizar la exposición de la red: * Asegúrese de que los dispositivos y sistemas ICS no sean accesibles desde Internet. * Limite el acceso a los dispositivos y sistemas ICS solo a aquellos que lo necesitan. * Use firewalls y otras técnicas de segmentación de red para aislar las redes ICS de las redes comerciales. 2. Implemente métodos de acceso remoto seguro: * Use redes privadas virtuales (VPN) para establecer conexiones remotas seguras. * Actualice regularmente el software y las configuraciones de VPN para garantizar que sean seguros. * Considere usar otros métodos de acceso remoto seguro, como SSH o HTTPS. 3. Realice actualizaciones de software periódicas: * Actualice periódicamente el software ICS a las últimas versiones para asegurarse de tener los últimos parches y correcciones de seguridad. * Utilice mecanismos de actualización y monitoreo automatizados para mantenerse actualizado. 4. Implemente las mejores prácticas de seguridad: * Use contraseñas seguras y políticas de contraseñas para evitar el acceso no autorizado. * Implementar controles de acceso, como el control de acceso basado en roles (RBAC) y el acceso con privilegios mínimos. * Auditar y monitorear regularmente los sistemas ICS para detectar actividad sospechosa. 5. Realizar análisis de impacto y evaluación de riesgos: * Evaluar regularmente el impacto potencial de posibles incidentes de seguridad en sus sistemas ICS. * Desarrollar e implementar planes de respuesta a incidentes para mitigar los efectos de un incidente de seguridad. 6. Utilizar protocolos y comunicaciones seguros: * Utilizar protocolos de comunicación seguros, como HTTPS y SSH, para proteger los datos en tránsito. * Actualizar y aplicar parches regularmente a los protocolos de comunicación para garantizar que sean seguros. 7. Implementar estrategias de defensa en profundidad: * Implementar múltiples capas de controles de seguridad para prevenir y detectar incidentes de seguridad. * Utilizar una combinación de controles técnicos y de procedimiento para proteger los sistemas ICS. 8. Monitorear la actividad sospechosa: * Monitorear regularmente los sistemas y redes ICS para detectar actividad sospechosa. * Implementar sistemas de detección y prevención de intrusiones para detectar y prevenir incidentes de seguridad. Relacionado