Conclusiones clave Los investigadores de Cyble investigaron vulnerabilidades en cinco productos ICS/OT esta semana e identificaron los productos Mitsubishi Electric, TEM y Delta Electronics como las principales prioridades para los equipos de seguridad. TEM no ha respondido a los informes de vulnerabilidades en los transmisores de la familia Opera Plus FM, versión 35.45, por lo que se insta a los usuarios a tomar medidas de mitigación. Mitsubishi Electric no tiene planes de corregir las vulnerabilidades en las unidades de comunicación MELSEC iQ-F FX5-OPC y, en cambio, recomendó medidas de mitigación. Descripción general Los investigadores de Cyble han identificado vulnerabilidades en tres productos utilizados en entornos de infraestructura crítica que merecen atención de alta prioridad por parte de los equipos de seguridad. El informe semanal de vulnerabilidades de tecnología operativa/sistema de control industrial (ICS/OT) de Cyble del 1 al 7 de octubre investigó 10 vulnerabilidades en cinco productos ICS/OT e identificó productos de Mitsubishi Electric, TEM y Delta Electronics como principales prioridades para parches y mitigación. Vulnerabilidades de los transmisores de la familia TEM Opera Plus FM Un atacante podría atacar los transmisores de la familia Opera Plus FM (CVE-2024-41987 y CVE-2024-41988) al perder la autenticación para funciones críticas y las vulnerabilidades de falsificación de solicitudes entre sitios (CSRF), como prueba de El concepto (PoC) está disponible públicamente. CISA emitió un aviso sobre las vulnerabilidades el 3 de octubre de 2024 y los registros CVE se crearon el mismo día. CISA señala que TEM no ha respondido a las solicitudes para trabajar con la agencia en la vulnerabilidad; El desarrollador de PoC, Gjoko Krstic, también informó de la falta de respuesta de la empresa. Los transmisores se utilizan en todo el mundo en el sector de las comunicaciones; La versión 35.45 se ve afectada. CISA recomienda las siguientes mitigaciones: Minimizar la exposición de la red para todos los dispositivos y sistemas del sistema de control, asegurándose de que no sean accesibles a Internet. Coloque las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes empresariales. Cuando se requiera acceso remoto, utilice métodos más seguros, como VPN, aunque las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente. Los dispositivos conectados también deben ser seguros. Mitsubishi Electric MELSEC iQ-F FX5-OPC Las unidades de comunicación MELSEC iQ-F FX5-OPC de Mitsubishi Electric se ven afectadas por una vulnerabilidad de desreferencia de puntero NULL (CVE-2024-0727) que actores malintencionados podrían aprovechar para crear denegación de servicio (DoS) condiciones al conseguir que un usuario legítimo importe un certificado en formato PKCS#12 especialmente diseñado. El problema se debe a una vulnerabilidad de OpenSSL que la compañía detalló en un aviso del 1 de octubre. Mitsubishi Electric no tiene planes de solucionar la vulnerabilidad y, en cambio, recomienda las siguientes mitigaciones: Usar dentro de una LAN y bloquear el acceso desde redes y hosts que no sean de confianza a través de firewalls. Restrinja el acceso físico al producto y a las computadoras y dispositivos de red ubicados dentro de la misma red. Utilice un firewall o VPN para evitar el acceso no autorizado cuando se requiera acceso a Internet. Utilice la función de filtro de IP para bloquear el acceso desde hosts que no sean de confianza. Para obtener detalles sobre la función de filtro IP, consulte el siguiente manual: Manual del usuario del módulo MELSEC iQ-F FX5 OPC UA “4.4 Filtro IP” No importe certificados que no sean de confianza. Las vulnerabilidades de inyección SQL DIAEnergie de Delta Electronics (CVE-2024-43699 y CVE-2024-42417) en el sistema de gestión de energía industrial DIAEnergie de Delta Electronics podrían permitir que un atacante no autenticado aproveche el problema para obtener los registros contenidos en el producto objetivo. Las versiones v1.10.01.008 y anteriores se ven afectadas, y Delta Electronics recomienda que los usuarios actualicen a la v1.10.01.009. Los productos Optigo Networks y Subnet Solutions Optigo Networks (CVE-2024-41925 y CVE-2024-45367) y Subnet Solutions PowerSYSTEM Center (CVE-2020-28168, CVE-2021-3749 y CVE-2023-45857) también fueron el foco de los recientes avisos de seguridad. Cyble recomendó parchear las vulnerabilidades del Optigo ONS-S8 Spectra Aggregation Switch la semana pasada. Recomendaciones y mitigaciones Cyble también ofreció pautas de seguridad generales para entornos ICS y OT: realice un seguimiento de la seguridad, avisos de parches y alertas emitidas por proveedores y autoridades estatales. Siga un enfoque de gestión de vulnerabilidades basado en riesgos para reducir el riesgo de explotación de activos e implementar una Política de Confianza Cero. Los analistas de inteligencia de amenazas deben respaldar el proceso de gestión de parches organizacionales monitoreando y notificando continuamente las vulnerabilidades críticas publicadas en el catálogo KEV de CISA, explotadas activamente en la naturaleza o identificadas en intentos de explotación masiva en Internet. Desarrolle una estrategia integral de administración de parches que incluya administración de inventario, evaluación de parches, pruebas, implementación y verificación. Automatice el proceso cuando sea posible para garantizar la coherencia y la eficiencia. Implemente una segmentación de red adecuada para evitar que los atacantes realicen descubrimientos y movimientos laterales y minimice la exposición de activos críticos. Las auditorías periódicas, las evaluaciones de vulnerabilidades y los ejercicios de pruebas de penetración son vitales para encontrar lagunas de seguridad que los atacantes puedan aprovechar. El monitoreo y el registro continuos pueden ayudar a detectar anomalías en la red de manera temprana. Utilice la lista de materiales de software (SBOM) para obtener más visibilidad de los componentes individuales, las bibliotecas y sus vulnerabilidades asociadas. Instale controles físicos para evitar que personal no autorizado acceda a sus dispositivos, componentes, equipos periféricos y redes. Cree y mantenga un plan de respuesta a incidentes que describa los procedimientos para detectar, responder y recuperarse de incidentes de seguridad. Pruebe y actualice periódicamente el plan para garantizar su eficacia y alineación con las amenazas actuales. Relacionado