Se ha publicado un informe de seguridad sobre un conjunto de 56 vulnerabilidades que se denominan colectivamente Icefall y que afectan a equipos de tecnología operativa (OT) utilizados en diversos entornos de infraestructuras críticas.
La colección Icefall ha sido descubierta por investigadores de seguridad de Vedere Labs de Forescout y afecta a dispositivos de diez proveedores. El tipo de fallos de seguridad incluidos permiten la ejecución remota de código, comprometer credenciales, cambios en el firmware y la configuración, eludir la autenticación y manipular la lógica.
Los vendedores afectados cuentan con Honeywell, Motorola, Omron, Siemens, Emerson, JTEKT, Bentley Nevada, Phoenix Contract, ProConOS y Yokogawa. Han sido notificados en una divulgación responsable coordinada por Phoenix Contact, CERT VDE y la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA).
En los últimos años, el tipo de sistemas impactados por Icefall se ha convertido en un objetivo más frecuente del malware especializado Industroyer 2 y CaddyWiper, ambos desplegados no hace mucho por hackers rusos contra centrales eléctricas ucranianas.
Los fallos descubiertos por Vedere Labs se refieren principalmente a la seguridad de las credenciales, la manipulación del firmware y la ejecución remota de código, mientras que la manipulación de la configuración y la creación de un estado de denegación de servicio (DoS) representan un número menor.
Forescout señala en su informe que “muchas vulnerabilidades se deben a la naturaleza insegura por diseño de las OT”, añadiendo también que “muchos esquemas de autenticación están rotos”, lo que demuestra la insuficiencia de los controles de seguridad en la fase de implementación.
Como ejemplo, los investigadores señalan que muchos dispositivos utilizan credenciales en texto plano, criptografía débil o rota, claves codificadas y autenticación del lado del cliente.
Estos defectos de autenticación allanan el camino para que los actores de la amenaza logren la ejecución remota de código (RCE) y la condición de DoS, o instalen imágenes de firmware maliciosas. La manipulación operativa directa mediante la emisión de comandos en los dispositivos objetivo o en los que están detrás de ellos es otro riesgo que destacan los investigadores.
Icefall afecta a una amplia gama de dispositivos utilizados en numerosos sectores industriales, lo que los hace muy atractivos, especialmente para los adversarios patrocinados por el Estado.
Algunos escenarios que, según Forescout, podrían derivarse de la utilización de Icefall por parte de los actores de la amenaza incluyen la creación de falsas alarmas, el cambio de los puntos de ajuste del flujo, la interrupción de las operaciones de SCADA o la desactivación de los sistemas de parada de emergencia y de seguridad contra incendios.
Para demostrar sus hallazgos y el potencial de riesgo, los investigadores utilizaron un sistema de generación de energía eólica y otro de transporte de gas natural, mostrando dónde se encuentran los distintos fallos de Icefall y cómo podrían encadenarse para lograr niveles de compromiso más profundos.
La principal recomendación de seguridad es aplicar las últimas actualizaciones de firmware del proveedor. Sin embargo, en este momento no todos los proveedores mencionados han publicado correcciones para Icefall y también hay proveedores posteriores que deben tomar medidas.
Hasta que se disponga de una solución o pueda instalarse, se recomienda encarecidamente a los administradores de sistemas que segmenten la red y supervisen el tráfico y la actividad de los dispositivos.
Con información de Bleeping Computer.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian