El equipo de ciberseguridad de Microsoft ha descubierto dos vulnerabilidades importantes en PanelView Plus de Rockwell Automation, un tipo de interfaz hombre-máquina (HMI) ampliamente utilizada en entornos industriales. Estas vulnerabilidades, identificadas como CVE-2023-2071 y CVE-2023-29464, pueden ser explotadas de forma remota por atacantes no autenticados para realizar una ejecución remota de código (RCE) y una denegación de servicio (DoS) respectivamente. La vulnerabilidad RCE surge de dos clases personalizadas dentro de PanelView Plus que pueden manipularse para cargar una DLL maliciosa, lo que permite a los atacantes ejecutar código arbitrario en el dispositivo. Mientras tanto, la vulnerabilidad DoS explota la misma clase personalizada, enviando un búfer diseñado que el dispositivo no puede manejar, lo que hace que se bloquee. En un aviso publicado el martes, Microsoft dijo que tales vulnerabilidades representan un riesgo significativo para las organizaciones que dependen de estos dispositivos para procesos operativos, ya que podrían conducir al control remoto no autorizado y la interrupción de operaciones críticas. Lea más sobre las ciberamenazas en la automatización industrial: La industria manufacturera, principal objetivo de una oleada récord de extorsiones cibernéticas Según el informe técnico, el proceso de descubrimiento comenzó cuando el equipo de investigación Defender for IoT de Microsoft observó la comunicación entre dos dispositivos que utilizaban el Protocolo industrial común (CIP). Una investigación más a fondo reveló una funcionalidad de consulta de registro remoto dentro de la HMI, específicamente PanelView Plus. Esto llevó al equipo a plantear hipótesis sobre posibles vulnerabilidades que podrían explotarse para acceder a claves confidenciales del sistema o hacerse con el control del dispositivo. Al analizar el firmware de PanelView Plus, que funciona con Windows 10 IoT, los investigadores identificaron varias DLL responsables de procesar diferentes ID de clase CIP. Descubrieron que una de esas DLL podría explotarse para cargar y ejecutar archivos DLL maliciosos, lo que confirma su hipótesis sobre posibles vulnerabilidades de control remoto. En mayo y julio de 2023, Microsoft habría revelado estos hallazgos a Rockwell Automation a través de su programa de divulgación de vulnerabilidades coordinadas (CVD). En respuesta, Rockwell publicó parches de seguridad y avisos en septiembre y octubre de 2023. Microsoft ha instado a todos los usuarios de PanelView Plus a aplicar estos parches rápidamente para mitigar los posibles riesgos. Otras recomendaciones de Microsoft incluyen garantizar que todos los dispositivos críticos, como PLC, enrutadores y PC, estén desconectados de Internet y segmentados, independientemente de su uso de FactoryTalk View de Rockwell. Además, recomiendan restringir el acceso a los dispositivos CIP exclusivamente a los componentes autorizados para reforzar los protocolos de seguridad generales. Crédito de la imagen: Michael Vi / Shutterstock.com