Conclusiones clave Los investigadores de Cyble investigaron esta semana 11 vulnerabilidades de sistemas de control industrial (ICS), en sistemas de Siemens, Rockwell Automation, Yokogawa, Kastle Systems, IDEC Corporation y MegaSys Computer Technologies. Dos de las vulnerabilidades requieren atención inmediata: una vulnerabilidad de consumo de recursos incontrolado en las CPU SMART SIMATIC S7-200 de Siemens y una vulnerabilidad de verificación insuficiente de autenticidad de datos en el software RSLogix 5 y RSLogix 500 de Rockwell Automation que podría permitir la ejecución de scripts sin intervención del usuario. Los investigadores de Cyble también informaron sobre las 9 vulnerabilidades adicionales de ICS y recomendaron 11 mejores prácticas de seguridad de ICS para que las organizaciones las implementen y sigan. Descripción general Los investigadores del Cyble Research and Intelligence Lab (CRIL) investigaron 11 vulnerabilidades en sistemas de control industrial (ICS) durante la semana del 17 al 23 de septiembre e instaron a los equipos de seguridad a priorizar la reparación de dos de ellas, en las CPU SIMATIC S7-200 SMART de Siemens y Rockwell. Software RSLogix 5 y RSLogix 500 de Automation. Las otras 9 vulnerabilidades se encuentran en sistemas de Yokogawa, Kastle Systems, IDEC Corporation y MegaSys Computer Technologies. Vulnerabilidades de Siemens y Rockwell Automation Los investigadores de Cyble recomiendan priorizar dos vulnerabilidades en particular: CVE-2024-43647, que afecta a varias CPU SIMATIC S7-200 SMART de Siemens, incluidos varios modelos CR, SR y ST. Esta vulnerabilidad se debe al manejo inadecuado de paquetes TCP con estructuras incorrectas, lo que puede provocar una condición de denegación de servicio (DoS). Un atacante no autenticado puede explotar esta falla de forma remota con una complejidad mínima, lo que podría provocar que el sistema objetivo deje de estar disponible. La vulnerabilidad no compromete la confidencialidad o la integridad, pero afecta significativamente la disponibilidad, ya que puede interrumpir por completo el acceso a los dispositivos afectados hasta que se aplique una intervención manual para restaurar las operaciones. CVE-2024-7847 es una vulnerabilidad de alta gravedad que se encuentra en el software RSLogix 5 y RSLogix 500 de Rockwell Automation, que se utilizan ampliamente en sistemas de control industrial (ICS). Esta falla permite la ejecución remota de código (RCE) a través de scripts maliciosos integrados en VBA dentro de los archivos del proyecto. Una vez que un usuario desprevenido abre un archivo de proyecto manipulado, el script incorporado puede ejecutarse sin la intervención del usuario, lo que podría dar a los atacantes acceso no autorizado a sistemas críticos. Otras vulnerabilidades de ICS Las otras vulnerabilidades investigadas por los investigadores de CRIL incluyen: CVE-2024-45682, una vulnerabilidad de inyección de comandos en Millbeck Communications Proroute H685t-w: Versión 3.2.334 CVE-2024-38380, una vulnerabilidad de secuencias de comandos entre sitios (XSS) en Millbeck Communications Proroute H685t-w: Versión 3.2.334 CVE-2024-8110, una falla de valor de retorno no verificada en la plataforma de doble redundancia para computadora (PC2CKM) de Yokogaw: Versiones R1.01.00 a R2.03.00 CVE-2024-41927, un texto sin cifrar vulnerabilidad de transmisión de información confidencial en ciertos módulos de CPU MICROSmart de las series FC6A y FC6B de IDEC Corporation y versiones SmartAXIS Pro/Lite de la serie FT1A CVE-2024-28957, una generación de falla de identificadores predecibles en ciertos módulos de CPU MICROSmart de las series FC6A y FC6B de IDEC Corporation y de la serie FT1A Versiones SmartAXIS Pro/Lite CVE-2024-41716, una vulnerabilidad de transmisión de texto sin cifrar de información confidencial en IDEC Corporation WindLDR: Ver.9.1.0 y anteriores, y WindO/I-NV4: Ver.3.0.1 y anteriores CVE-2024-6404 , una vulnerabilidad de validación de entrada incorrecta en la aplicación web Telenium Online de MegaSys Computer Technologies: versiones 8.3 y anteriores CVE-2024-45861, una falla en el uso de credenciales codificadas en el sistema de control de acceso de Kastle Systems: firmware anterior al 1 de mayo de 2024 CVE-2024-45862, una transmisión de texto sin cifrar de vulnerabilidad de información confidencial en el sistema de control de acceso de Kastle Systems: firmware antes del 1 de mayo de 2024. Recomendaciones de Cyble Los investigadores de Cyble también recomendaron 11 mejores prácticas de seguridad de ICS para que las sigan los equipos de seguridad: Mantenga un registro de los avisos y alertas de seguridad y parches emitidos por proveedores y autoridades estatales. Siga un enfoque de gestión de vulnerabilidades basado en riesgos para reducir el riesgo de explotación de activos e implementar una Política de Confianza Cero. Los analistas de inteligencia de amenazas deben respaldar el proceso de gestión de parches organizacionales mediante el monitoreo continuo de las vulnerabilidades críticas publicadas en el catálogo KEV de CISA, explotadas activamente en la naturaleza o identificadas en intentos de explotación masiva en Internet. Desarrolle una estrategia integral de administración de parches que incluya administración de inventario, evaluación de parches, pruebas, implementación y verificación. Automatice el proceso cuando sea posible para garantizar la coherencia y la eficiencia. Implemente una segmentación de red adecuada para evitar que los atacantes realicen descubrimientos y movimientos laterales y para minimizar la exposición de activos críticos. Realice auditorías periódicas, evaluaciones de vulnerabilidades y ejercicios de pentesting para encontrar lagunas de seguridad que los atacantes puedan aprovechar. El monitoreo y el registro continuos pueden ayudar a detectar anomalías en la red de manera temprana. Utilice la lista de materiales de software (SBOM) para obtener más visibilidad de los componentes individuales, las bibliotecas y sus vulnerabilidades asociadas. Instale controles físicos para evitar que personal no autorizado acceda a sus dispositivos, componentes, equipos periféricos y redes. Cree y mantenga un plan de respuesta a incidentes que describa los procedimientos para detectar, responder y recuperarse de incidentes de seguridad. Pruebe y actualice periódicamente el plan para garantizar su eficacia y alineación con las amenazas actuales. Llevar a cabo programas continuos de capacitación en ciberseguridad para todos los empleados, particularmente aquellos con acceso a sistemas OT. Esto incluye educar al personal sobre cómo reconocer intentos de phishing, el uso adecuado de los mecanismos de autenticación y la importancia de seguir protocolos de seguridad para evitar violaciones de seguridad accidentales. Relacionado