Rockwell Automation, especialista estadounidense en sistemas de control industrial (ICS), ha instado a los usuarios de todo el mundo a desconectar sus equipos de la Internet pública, citando tensiones geopolíticas y un aumento dramático en la actividad de los actores de amenazas dirigidas a su hardware a través de una serie de vulnerabilidades y exposiciones comunes conocidas. (CVE).
La advertencia de la firma con sede en Milwaukee, Wisconsin, va acompañada de una alerta emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), que aconseja a los usuarios seguir sus consejos.
“Rockwell Automation emite este aviso instando a todos los clientes a tomar medidas inmediatas para evaluar si tienen dispositivos con conexión a Internet pública y, de ser así, eliminar urgentemente esa conectividad para dispositivos que no estén diseñados específicamente para la conectividad a Internet pública”, dijo la firma.
“De acuerdo con la guía de Rockwell Automation para todos los dispositivos no diseñados específicamente para la conectividad pública a Internet (por ejemplo, ofertas de nube y de borde), los usuarios nunca deben configurar sus activos para que se conecten directamente a la Internet pública.
“Eliminar esa conectividad como un paso proactivo reduce la superficie de ataque y puede reducir inmediatamente la exposición a actividades cibernéticas no autorizadas y maliciosas de actores de amenazas externos”, agregó Rockwell.
La organización también insta a los usuarios a prestar especial atención a remediar una serie de siete vulnerabilidades conocidas en varios productos.
Estas fallas son CVE-2021-22681 en los controladores Logix; CVE-2022-1159 en Studio 5000 Logix Designer; CVE-2023-3595 en módulos de comunicación seleccionados; CVE-2023-46290 en la plataforma de servicios FactoryTalk; CVE-2023-21914 en FactoryTalk View ME; CVE-2024-21915 en FactoryTalk Service Platform y CVE-2024-21917, también en FactoryTalk Service Platform. Los detalles de estas vulnerabilidades están disponibles en el aviso vinculado.
Ken Dunham, director de amenazas cibernéticas de la Unidad de Investigación de Amenazas (TRU) de Qualys, dijo: “La alerta de Rockwell Automation recomienda la eliminación inmediata de cualquier dispositivo que esté actualmente instalado con conectividad pública a Internet, para la cual no fue diseñado. Esto puede parecer de sentido común, pero con demasiada frecuencia en un mundo de ‘Hola, funciona’, las organizaciones se encuentran en una situación en la que el hardware y el software se instalan y configuran de maneras que no son recomendadas y son vulnerables a los ataques”.
Dunham instó a los clientes de Rockwell a prestar mucha atención y dijo: “Los sistemas de control industrial automatizados (ICS) son un objetivo principal para los ataques de adversarios que desean afectar la infraestructura crítica, especialmente en un año de alta volatilidad, de elecciones y guerra”.
La vicepresidenta de investigación de Forescout, Elisa Costante, añadió: “A pesar de décadas de esfuerzos, la amenaza a la infraestructura crítica a través de los sistemas de control industrial sigue siendo alarmantemente alta, y Forescout Research – Vedere Labs clasifica estos sistemas como los quintos más riesgosos en tecnología operativa.
“Incluso cuando los ciberataques unen los mundos digital y físico, impactando nuestra salud y seguridad físicas, las advertencias a menudo no llegan a ofrecer evaluaciones de riesgos integrales. Forescout descubrió recientemente 90.000 vulnerabilidades sin un ID CVE e identificó el almacenamiento conectado a la red (NAS), las cámaras IP, los dispositivos de automatización de edificios y los equipos VoIP como los dispositivos OT e IoT más explotados.
“Es crucial que adoptemos estrategias de defensa centradas en la red, refuercemos los dispositivos, segmentemos las redes y monitoreemos atentamente los sistemas para mitigar las crecientes amenazas de OT y proteger todos los dispositivos administrados y no administrados. Ahora es el momento de abordar esto y prevenir un posible ataque masivo”, afirmó.
La advertencia de Rockwell se produce en medio de una creciente sensación de alarma en toda la industria de la seguridad cibernética por las actividades de operaciones de espionaje respaldadas por el Estado, como el Volt Typhoon de China, que se sabe que apuntó a operaciones de infraestructura crítica (usuarios intensivos de tecnología ICS) para intrusión y según Según las autoridades estadounidenses, podría estar sentando las bases para una gran ciberofensiva multifacética en caso de que la situación geopolítica se deteriore.
En un acontecimiento relacionado, los investigadores de Mandiant informaron hoy sobre el uso creciente de redes de cajas de retransmisión operativas, u ORB, por parte de actores de amenazas estatales chinos.
Las redes ORB son redes de corta duración y ciclos frecuentes que funcionan de manera similar a las botnets tradicionales, y comprenden en gran medida servidores privados virtuales alquilados por contratistas y dispositivos de Internet de las cosas (IoT) comprometidos e incluso enrutadores de consumo. Debido a que se modifican con frecuencia, las redes ORB hacen que el llamado indicador de extinción de compromiso (IoC), cuando un IoC conocido deja de usarse o de ser válido, sea una mayor preocupación, lo que deja a los defensores luchando por mantenerse al día.
Mandiant dijo que si bien los ORB no son nuevos en sí mismos, su adopción entusiasta en la comunidad de ciberespionaje china apunta a una inversión creciente en técnicas sofisticadas.