Rockwell Automation
El hardware que se usa ampliamente para controlar equipos en fábricas y otros entornos industriales se puede incautar de forma remota mediante la explotación de una vulnerabilidad recientemente revelada que tiene una puntuación de gravedad de 10 sobre 10.
La vulnerabilidad se encuentra en controladores lógicos programables de Rockwell Automation que se comercializan bajo la marca Logix. Estos dispositivos, que varían desde el tamaño de una tostadora pequeña hasta una caja de pan grande o incluso más grande, ayudan a controlar los equipos y procesos en las líneas de montaje y en otros entornos de fabricación. Los ingenieros programan los PLC mediante el software de Rockwell llamado Studio 5000 Logix Designer.
El jueves, la Administración de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Advirtió sobre una vulnerabilidad crítica que podría permitir a los piratas informáticos conectarse de forma remota a los controladores Logix y desde allí alterar su configuración o código de aplicación. La vulnerabilidad requiere un bajo nivel de habilidad para ser explotada, CISA dicho
La vulnerabilidad, que se rastrea como CVE-2021-22681, es el resultado del software Studio 5000 Logix Designer que permite a los piratas informáticos extraer una clave de cifrado secreta. Esta clave está codificada tanto en los controladores Logix como en las estaciones de ingeniería y verifica la comunicación entre los dos dispositivos. Un pirata informático que obtuvo la clave podría luego imitar una estación de trabajo de ingeniería y manipular el código o las configuraciones de PLC que impactan directamente en un proceso de fabricación.
“Cualquier controlador Rockwell Logix afectado que esté expuesto en Internet es potencialmente vulnerable y explotable”, dijo Sharon Brizinov, investigadora principal de vulnerabilidades en Claroty, una de las tres organizaciones a las que Rockwell atribuyó el descubrimiento de la falla de forma independiente. “Para aprovechar con éxito esta vulnerabilidad, un atacante primero debe obtener la clave secreta y tener el conocimiento del algoritmo criptográfico que se utiliza en el proceso de autenticación”.
Brizinov dijo que Claroty notificó a Rockwell de la vulnerabilidad en 2019. Rockwell no lo reveló hasta el jueves. Rockwell también dio crédito a los investigadores de Kaspersky Lab y la Universidad de Soonchunhyang, Eunseon Jeong, Youngho An, Junyoung Park, Insu Oh y Kangbin Yim.
La vulnerabilidad afecta a casi todos los PLC Logix que vende Rockwell, incluidos:
- CompactLogix 1768
- CompactLogix 1769
- CompactLogix 5370
- CompactLogix 5380
- CompactLogix 5480
- ControlLogix 5550
- ControlLogix 5560
- ControlLogix 5570
- ControlLogix 5580
- DriveLogix 5560
- DriveLogix 5730
- DriveLogix 1794-L34
- Compacto GuardLogix 5370
- Compacto GuardLogix 5380
- GuardLogix 5570
- GuardLogix 5580
- SoftLogix 5800
Rockwell no está emitiendo un parche que aborde directamente los problemas derivados de la clave codificada. En cambio, la compañía recomienda que los usuarios de PLC sigan pasos específicos de mitigación de riesgos. Los pasos implican poner en marcha el interruptor de modo del controlador y, si eso no es posible, seguir otras recomendaciones específicas para cada modelo de PLC.
Esos pasos se establecen en un aviso que Rockwell pone a disposición de los clientes, así como en el aviso CISA vinculado anteriormente. Rockwell y CISA también recomiendan que los usuarios de PLC sigan los consejos de seguridad en profundidad de seguridad estándar. La principal de las recomendaciones es asegurarse de que los dispositivos del sistema de control no sean accesibles desde Internet.
Los profesionales de la seguridad advierten universalmente a los ingenieros que coloquen los sistemas industriales críticos detrás de un firewall para que no estén expuestos a Internet. Desafortunadamente, los ingenieros que luchan con grandes cargas de trabajo y presupuestos limitados a menudo no siguen los consejos. El último recordatorio de esto llegó a principios de este mes cuando una planta de tratamiento de agua municipal en Florida dijo que un intruso accedió a un sistema remoto y trató de atar agua potable con lejía. Los empleados de la planta usaron la misma contraseña de TeamViewer y no pusieron el sistema detrás de un firewall.
Si los usuarios de Logix PLC están segmentando redes de control industrial y siguiendo otras mejores prácticas, es probable que el riesgo que plantea CVE-2021-22681 sea mínimo. Y si la gente no ha implementado estas prácticas, los hackers probablemente tengan formas más fáciles de secuestrar los dispositivos. Dicho esto, esta vulnerabilidad es tan grave que todos los usuarios de Logix PLC deberían prestar atención a las advertencias de CISA y Rockwell.
Claroty ha publicado su propio artículo. aquí.