Se recomienda a los usuarios de los controladores lógicos programables (PLC) Modicon de Schneider Electric, que están ampliamente presentes en la fabricación, las aplicaciones de automatización de servicios de construcción, los servicios públicos de energía y los sistemas HVAC, que estén alertas a la explotación de una vulnerabilidad de derivación de autenticación que podría conducir a un código remoto. ejecución (RCE) en un sistema de destino.
Apodada Modipwn por los investigadores de Armis responsables de su descubrimiento, la vulnerabilidad, a la que se le asignará CVE-2021-22779, permite la adquisición completa del dispositivo de varios modelos de Modicon, incluidos el M340 y M580.
Un atacante teórico comenzaría por obtener acceso a la red a un PLC Modicon objetivo. Una vez hecho esto, pueden explotar comandos no documentados en el protocolo de servicios de aplicaciones de mensajería unificada (UMAS) para filtrar un determinado hash de la memoria del dispositivo.
Una vez en posesión de este hash, pueden hacerse cargo de la conexión segura entre el PLC y su estación de trabajo de gestión para reconfigurarlo con una configuración sin contraseña.
A partir de ahí, pueden abusar de comandos no documentados adicionales para obtener capacidades de RCE, establecer persistencia, ofuscar su presencia e instalar malware.
“Armis y Schneider Electric han trabajado juntos para garantizar que se proporcionen las mitigaciones de seguridad adecuadas”, dijo Ben Seri de Armis. “Instamos a todas las organizaciones afectadas a que actúen ahora.
“El problema con estos dispositivos heredados que se encuentran en entornos OT es que, históricamente, han evolucionado sobre protocolos no cifrados. Llevará tiempo abordar estos protocolos subyacentes débiles. Mientras tanto, las organizaciones que operan en estos entornos deben asegurarse de tener visibilidad sobre estos dispositivos para ver dónde se encuentran sus puntos de exposición.
“Esto es crucial para evitar que los atacantes puedan controlar sus sistemas, o incluso exigir un rescate”.
Los ataques sofisticados como los que podrían explotar Modipwn a menudo se han visto en la naturaleza antes, con ejemplos que incluyen el ataque de malware Triton en una instalación petroquímica del Medio Oriente en diciembre de 2017. Armis dijo que los ataques que alteran las operaciones de los controladores industriales amenazaron la continuidad del negocio y seguridad, y aquellos que se esconden de las soluciones de monitoreo son obviamente difíciles de detectar.
En declaraciones al título hermano de Computer Weekly, SearchSecurity, Seri dijo que el problema era sintomático de problemas mucho más profundos en torno a la seguridad de los sistemas de control industrial, y habló de una falta de cuidado y atención durante el proceso de desarrollo. Dijo que esto significaba que incluso cuando CVE-2021-22779 esté completamente parcheado, que se espera más adelante en 2021, los PLC de Modicon podrían seguir siendo vulnerables a otros ataques.
Un portavoz del CERT de productos corporativos de Schneider Electric dijo: “Schneider Electric se compromete a colaborar de forma abierta y transparente. En este caso, hemos colaborado con estos investigadores para validar la investigación y evaluar su verdadero impacto. Nuestros hallazgos mutuos demuestran que, si bien las vulnerabilidades descubiertas afectan las ofertas de Schneider Electric, es posible mitigar los impactos potenciales siguiendo una guía estándar, instrucciones específicas y, en algunos casos, las correcciones proporcionadas por Schneider Electric para eliminar la vulnerabilidad.
“Como siempre, apreciamos y aplaudimos la investigación de seguridad cibernética independiente porque, como en este caso, ayuda a la industria manufacturera global a fortalecer nuestra capacidad colectiva para prevenir y responder a los ataques cibernéticos.
“Trabajar juntos nos ha permitido mejorar nuestra comprensión de las posibles debilidades de EcoStruxure Control Expert. Nos permitió revelar esta vulnerabilidad de manera oportuna y responsable para que nuestros clientes y usuarios finales puedan proteger mejor sus operaciones, activos y personas.
“Juntos, continuamos alentando al ecosistema de proveedores de automatización, proveedores de soluciones de seguridad cibernética y usuarios finales a colaborar para reducir los riesgos de seguridad cibernética y apoyar a nuestros clientes para garantizar que hayan implementado las mejores prácticas de seguridad cibernética en sus operaciones y cadenas de suministro”.
Puede encontrar un desglose completo de Modipwn, incluida una inmersión técnica más profunda, aquí.