Conclusiones clave Tres avisos importantes de CISA abordan 17 vulnerabilidades en productos de LOYTEC Electronics GmbH, Hughes Network Systems y Baxter. Varios productos se ven afectados por vulnerabilidades que permiten la transmisión de texto claro de datos confidenciales, como contraseñas, que podrían explotarse mediante ataques Man-in-the-Middle (MitM). A pesar de haberse informado en 2021, estas vulnerabilidades ahora se divulgan públicamente debido a la falta de respuesta del proveedor. Con 629 instancias expuestas a Internet, principalmente en Italia y Francia, la probabilidad de explotación es alta. Las pruebas de concepto (PoC) para estas vulnerabilidades están disponibles públicamente. Otras vulnerabilidades notables incluyen credenciales insuficientemente protegidas e inyección SQL, que afectan a sistemas de infraestructura crítica. Descripción general La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha destacado múltiples vulnerabilidades en productos ICS de LOYTEC Electronics GmbH, Hughes Network Systems y Baxter. Cyble Research & Intelligence Labs (CRIL) destacó las vulnerabilidades y amenazas críticas identificadas entre el 3 y el 9 de septiembre de 2024. Estas vulnerabilidades abarcan una variedad de niveles de gravedad y afectan a varios productos de LOYTEC Electronics GmbH, Hughes Network Systems y Baxter. Se han identificado múltiples vulnerabilidades en la línea de productos de LOYTEC Electronics GmbH. Estos problemas involucran principalmente la transmisión y el almacenamiento de información confidencial en texto sin formato, junto con la falta de autenticación para funciones críticas y un control de acceso inadecuado. En concreto, CVE-2023-46380, CVE-2023-46382, CVE-2023-46383 y CVE-2023-46385 son vulnerabilidades de alta gravedad que exponen datos confidenciales, como contraseñas, a una posible intercepción a través de ataques Man-in-the-Middle (MitM). Estas vulnerabilidades afectan a varios productos, incluidos LINX-151, LINX-212, LVIS-3ME12-A1 y varios modelos de las series LIOB y L-INX Configurator. Por ejemplo, CVE-2023-46380 y CVE-2023-46382 se ocupan de la transmisión de texto sin formato de información confidencial. El riesgo asociado con estas vulnerabilidades es significativo porque los atacantes pueden interceptar y leer datos confidenciales enviados a través de la red. La explotación de CVE-2023-46384 y CVE-2023-46386, que implican el almacenamiento de texto sin formato de información confidencial, aumenta aún más el riesgo, ya que los atacantes que obtengan acceso a estos datos almacenados podrían explotarlos potencialmente con fines no autorizados. Además, CVE-2023-46381 y CVE-2023-46387 abordan problemas de falta de autenticación y control de acceso inadecuado. Estas vulnerabilidades permiten el acceso no autorizado a funciones y sistemas críticos, lo que puede llevar a compromisos más amplios del sistema si se explotan. La ausencia de mecanismos de autenticación adecuados en estos casos significa que los atacantes podrían eludir las medidas de seguridad y obtener el control no autorizado. Vulnerabilidades de Hughes Network Systems El software WL3000 Fusion de Hughes Network Systems se ve afectado por dos vulnerabilidades de gravedad media. CVE-2024-39278 y CVE-2024-42495 resaltan credenciales insuficientemente protegidas y falta de cifrado de datos confidenciales, respectivamente. CVE-2024-39278 expone credenciales que no están adecuadamente protegidas, que podrían ser interceptadas y mal utilizadas por los atacantes. Por otro lado, CVE-2024-42495 implica la falta de cifrado de datos confidenciales, lo que aumenta el riesgo de violaciones de datos y acceso no autorizado. Estas vulnerabilidades afectan a las versiones del software anteriores a 2.7.0.10, lo que enfatiza la importancia de actualizar a las últimas versiones para mitigar estos riesgos. Vulnerabilidades de Baxter El portal de salud Connex de Baxter ha sido identificado con vulnerabilidades críticas y de alta gravedad. CVE-2024-6795 es una vulnerabilidad crítica de inyección SQL que afecta a todas las versiones del portal de salud Connex, publicadas antes del 30 de agosto de 2024. Las vulnerabilidades de inyección SQL permiten a los atacantes ejecutar comandos SQL arbitrarios en la base de datos, lo que puede provocar un acceso o modificación no autorizados de los datos. Además, CVE-2024-6796 implica un control de acceso inadecuado, que puede dar lugar a un acceso no autorizado a áreas de aplicación sensibles. Ambas vulnerabilidades requieren parches y actualizaciones inmediatas para protegerse contra posibles ataques. Las vulnerabilidades identificadas en estos productos ICS destacan riesgos críticos que necesitan atención inmediata. En el caso de los productos de LOYTEC Electronics GmbH, los problemas implican principalmente fallos de seguridad de los datos, mientras que Hughes Network Systems y Baxter se enfrentan a vulnerabilidades que afectan a la protección de credenciales y al cifrado de datos. Las organizaciones que utilizan estos sistemas deben priorizar la aplicación de parches y actualizaciones disponibles, la implementación de controles de acceso sólidos y la mejora de su postura de seguridad para mitigar los riesgos que plantean estas vulnerabilidades. La mayoría de las vulnerabilidades reveladas se clasifican como de alta gravedad, lo que enfatiza la necesidad crítica de una acción y mitigación rápidas. Conclusión Estas vulnerabilidades resaltan problemas de seguridad críticos en los productos ICS de LOYTEC Electronics GmbH, Hughes Network Systems y Baxter. Las vulnerabilidades clave incluyen la transmisión de texto claro de datos confidenciales, la inyección SQL y los controles de acceso inadecuados, todos los cuales plantean riesgos significativos. Las organizaciones deben actuar rápidamente aplicando parches, mejorando los controles de acceso y mejorando la supervisión de la seguridad. Estos pasos son cruciales para mitigar los riesgos identificados y proteger la infraestructura crítica de la explotación. Mitigaciones y recomendaciones Implemente la segmentación de la red para aislar las redes ICS de las redes corporativas y de Internet. Utilice firewalls y DMZ para administrar el tráfico entre segmentos. Aplique una autenticación sólida de múltiples factores y limite el acceso según el principio del mínimo privilegio. Mantenga el hardware y el software ICS actualizados con los últimos parches para defenderse de las vulnerabilidades conocidas. Implementar herramientas de monitoreo para detectar actividades sospechosas y mantener registros para investigaciones forenses. Desarrollar y probar un plan de respuesta a incidentes específico de ICS para un manejo eficaz de incidentes de seguridad. Educar al personal sobre las amenazas específicas de ICS y las mejores prácticas, enfatizando los riesgos de la ingeniería social y las fuentes de software no confiables. Fuentes https://www.cisa.gov/news-events/ics-advisories/icsa-24-247-01 https://www.cisa.gov/news-events/ics-advisories/icsa-24-249-01 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-249-01 La publicación Se revelan fallas importantes de seguridad de ICS en productos LOYTEC, Hughes y Baxter apareció primero en Cyble.