09 de octubre de 2024Ravie LakshmananSeguridad industrial/infraestructura crítica Han surgido detalles sobre múltiples vulnerabilidades de seguridad en dos implementaciones del protocolo de especificación de mensajes de fabricación (MMS) que, si se explotan con éxito, podrían tener impactos graves en entornos industriales. «Las vulnerabilidades podrían permitir a un atacante bloquear un dispositivo industrial o, en algunos casos, permitir la ejecución remota de código», dijeron los investigadores de Claroty Mashav Sapir y Vera Mens en un nuevo análisis. MMS es un protocolo de mensajería de capa de aplicación OSI que permite el control y monitoreo remotos de dispositivos industriales mediante el intercambio de información de control de supervisión de manera independiente de la aplicación. Específicamente, permite la comunicación entre dispositivos electrónicos inteligentes (IED) y sistemas de control de supervisión y adquisición de datos (SCADA) o controladores lógicos programables (PLC). Las cinco deficiencias identificadas por la empresa de seguridad de tecnología operativa afectan a la biblioteca libIEC61850 de MZ Automation y a la biblioteca TMW IEC 61850 de Triangle MicroWorks, y fueron parcheadas en septiembre y octubre de 2022 tras una divulgación responsable: CVE-2022-2970 (puntuación CVSS: 10,0) – Una pila Vulnerabilidad de desbordamiento de búfer basada en libIEC61850 que podría provocar un bloqueo o la ejecución remota de código CVE-2022-2971 (puntuación CVSS: 8,6) – Una vulnerabilidad de confusión de tipos en libIEC61850 que podría permitir a un atacante bloquear el servidor con una carga útil maliciosa CVE- 2022-2972 (puntuación CVSS: 10,0): una vulnerabilidad de desbordamiento del búfer basada en pila en libIEC61850 que podría provocar un bloqueo o la ejecución remota de código. CVE-2022-2973 (puntuación CVSS: 8,6): una vulnerabilidad de deferencia de puntero nulo que podría permitir una el atacante bloquea el servidor CVE-2022-38138 (puntuación CVSS: 7,5): una vulnerabilidad de acceso de puntero no inicializado que permite a un atacante provocar una condición de denegación de servicio (DoS). El análisis de Claroty también encontró que Siemens SIPROTEC 5 IED confiaba en una versión desactualizada de la pila MMS-EASE de SISCO para soporte MMS, que es susceptible a una condición DoS a través de un paquete especialmente diseñado (CVE-2015-6574, puntuación CVSS: 7,5). Desde entonces, la empresa alemana actualizó su firmware con una versión actualizada de la pila de protocolos a diciembre de 2022, según un aviso publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). La investigación destaca la «brecha entre las demandas de seguridad de la tecnología moderna y los protocolos obsoletos y difíciles de reemplazar», dijo Claroty, instando a los proveedores a seguir las pautas de seguridad emitidas por CISA. La divulgación se produce semanas después de que Nozomi Networks detallara dos vulnerabilidades en la implementación de referencia del protocolo inalámbrico ESP-NOW de Espressif (CVE-2024-42483 y CVE-2024-42484) que podrían permitir ataques de repetición y causar una condición DoS. «Dependiendo del sistema al que se dirige, esta vulnerabilidad [CVE-2024-42483] «Puede tener consecuencias profundas», dijo. «ESP-NOW se utiliza en sistemas de seguridad como alarmas de edificios, permitiéndoles comunicarse con sensores de movimiento». «En tal escenario, un atacante podría explotar esta vulnerabilidad para reproducir un mensaje legítimo previamente interceptado». Comando ‘OFF’, desactivando así un sensor de movimiento a voluntad». Alternativamente, el uso de ESP-NOW en abridores de puertas remotos, como portones automáticos y puertas de garaje, podría usarse como arma para interceptar un comando «ABRIR» y reproducirlo en un momento posterior. Para obtener acceso no autorizado a edificios en agosto, Nozomi Networks también arrojó luz sobre un conjunto de 37 vulnerabilidades sin parches en la biblioteca de análisis libfluid_msg de OpenFlow, denominadas colectivamente FluidFaults, que un adversario podría explotar para bloquear aplicaciones de redes definidas por software (SDN). «Un atacante con visibilidad de red para un controlador/reenviador OpenFlow puede enviar un paquete de red OpenFlow malicioso que conduzca a un ataque de denegación de servicio (DoS)», afirmó la compañía. En los últimos meses también se han descubierto fallos de seguridad en Beckhoff. El sistema operativo TwinCAT/BSD de Automation que podría exponer los PLC a manipulación lógica, ataques DoS e incluso ejecución de comandos con privilegios de root en el controlador. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.