Investigadores de Kaspersky ICS CERT han detectado diversas vulnerabilidades en un conocido framework utilizado para el desarrollo de dispositivos industriales tales como Controladores Lógicos Programables (PLC) o Interfaces Hombre Máquina (HMI). Estos dispositivos son el núcleo de muchas instalaciones industriales, desde infraestructuras críticas hasta procesos de producción.
Las vulnerabilidades descubiertas permitían potencialmente que los ciberdelincuentes efectuaran ataques destructivos, tanto locales como en remoto, a la organización en la que se utilizaban los PLC desarrollados a través de este framework vulnerable. El framework fue desarrollado por CODESYS® y las vulnerabilidades fueron eliminadas por la compañía tras reportarlo Kaspersky.
Los PLC son dispositivos que automatizan procesos que anteriormente tenían que ejecutarse de forma manual o con la ayuda de complejos dispositivos electromecánicos. Para que funcione correctamente un PLC, es necesario programar estos dispositivos, una tarea que se realiza a través de un framework de software específico que ayuda a los ingenieros a codificar y cargar en el PLC instrucciones del programa de automatización de procesos.
En este proceso también se incluye un entorno para el tiempo de ejecución del código PLC. El software se utiliza en diversos entornos, como la producción, la generación de energía, las infraestructuras para smartcities, entre otros. Los investigadores de Kaspersky descubrieron que este software podía volverse vulnerable e interferir con el.
Los investigadores analizaron una potente y sofisticada herramienta diseñada para desarrollar y controlar programas PLC. Como resultado, pudieron identificar más de una docena de fallos de seguridad en el protocolo de red principal y el entorno de ejecución del framework, cuatro de los cuales fueron identificados como de gravedad.
Según cómo se exploten estos fallos, los atacantes podrían interceptar y forzar fallos en el comando de la red y los datos de telemetría, robar y reutilizar las claves y otra información de autenticación, inyectar código malicioso en el entorno de ejecución y elevar los privilegios del atacante en el sistema así como otras acciones no autorizadas.
Todas estas acciones podrían realizarse sin que se detecte la presencia del atacante en la red. En la práctica, esto significa que un atacante podría o corromper la funcionalidad de los PLC en una instalación en concreto u obtener el control absoluto, manteniéndose siempre fuera del radar del personal de las responsable de las TO en las instalaciones. De esta forma, podrían interrumpir las operaciones o robar datos sensibles, entre los que se incluyen la propiedad intelectual u otra información confidencial como, por ejemplo, la capacidad de producción de la fábrica o nuevos productos en proceso de desarrollo.
Al descubrir estas incidencias, Kaspspersky informó de forma inmediata al vendedor del software afectado. Todas las vulnerabilidades detectadas ya han sido solucionadas y los correspondientes parches están disponibles para los usuarios del framework. Para dar respuesta a los riesgos potenciales que la explotación de este fallo podría generar, los especialistas de Kaspersky recomiendan que se tomen las las siguientes medidas:
- Se recomienda a los desarrolladores que utilizan el framework que soliciten la versión actualizada y actualicen el firmware para los dispositivos.
- Se recomienda a los ingenieros industriales actualizar el firmware en sus dispositivos en los procedimientos de gestión de parches de su empresa, en caso de que el dispositivo se haya desarrollado con la ayuda de este framework y si el desarrollador del dispositivo hubiera emitido una actualización relevante de su producto.
- Los dispositivos en los que se despliegan entornos de desarrollo y/o SCADA deben estar equipados con una protección relevante
- Los dispositivos que se utilicen en entornos industriales deben funcionar a través de una red aislada y limitada
- Hasta que no se hayan aplicado los parches de firmware, los equipos de seguridad que protegen las redes industriales deben pensar en la posibilidad de desplegar medidas específicas para ofrecer protección ante amenazas sofisticadas.
