 |
Un nuevo análisis de datos procedentes de múltiples fuentes ha revelado un total de 56 vulnerabilidades en productos de OT de 10 proveedores, entre los que se encuentran algunos notables como Honeywell, Siemens y Emerson. |
Un nuevo análisis de datos procedentes de múltiples fuentes ha revelado un total de 56 vulnerabilidades en productos de OT de 10 proveedores, entre los que se encuentran algunos notables como Honeywell, Siemens y Emerson.
Muchas de las vulnerabilidades son el resultado de que los proveedores de dispositivos no incluyen en sus tecnologías mecanismos básicos de seguridad, como la autenticación y el cifrado. A menudo existen en productos más antiguos que los propietarios de activos siguen utilizando a pesar de que existen opciones más seguras. Resulta significativo que las vulnerabilidades estén presentes en productos que han pasado por algún tipo de proceso de auditoría y han sido certificados como seguros para las redes OT, según un nuevo estudio de Forescout.
Los investigadores de Vedere Labs de Forescout descubrieron las vulnerabilidades a partir de los datos que recopilaron a través de la inteligencia de código abierto, las consultas al motor de búsqueda Shodan y las redes de clientes. Las vulnerabilidades existen en productos y protocolos ampliamente utilizados en una serie de sectores de infraestructuras críticas, como el del petróleo y el gas, el químico, el nuclear y el de la generación de energía. El proveedor de seguridad publicó el martes un informe en el que destaca las principales conclusiones de su estudio.
Las vulnerabilidades -etiquetadas colectivamente como "OT: Icefall"- se debían a cuatro razones principales: protocolos de ingeniería inseguros, criptografía débil o mecanismos de autenticación rotos, actualizaciones de firmware inseguras y funciones nativas que permitían la ejecución remota de código. Los fallos permitían una serie de actividades maliciosas, como la ejecución remota de código, ataques de denegación de servicio, manipulación de archivos y configuraciones, omisión de autenticación y robo de credenciales. Los dispositivos afectados incluían controladores lógicos programables, unidades terminales remotas, estaciones de trabajo de ingeniería, sistemas de control de distribución y un sistema de control de supervisión y adquisición de datos (SCADA).
Inseguro por diseño
Los fallos no se introdujeron por errores de programación y codificación, dice Daniel dos Santos, jefe de investigación de seguridad de Forescout. Más bien, las tecnologías son vulnerables a los ataques porque son inseguras por su diseño, dice Santos. A menudo carecen de controles críticos como los necesarios para autenticar a los usuarios y las acciones, cifrar los datos y verificar si las actualizaciones de firmware y el software están firmados y verificados. Cuando estos mecanismos están presentes, a menudo son débiles y fáciles de hackear o se ven seriamente socavados por otros problemas, como la presencia de credenciales codificadas y en texto plano en el dispositivo, una aleatoriedad insuficiente y una criptografía rota, o características que permiten la escritura arbitraria de archivos, dice.
Aunque se trata de una diferencia semántica y acaba con las mismas vulnerabilidades, no es tanto que sean "inseguros por diseño" como que se hayan diseñado sin tener en cuenta la seguridad", afirma Mike Parkin, ingeniero técnico senior de Vulcan Cyber. "Se ha incorporado una mayor seguridad a los equipos OT más recientes, pero todavía hay muchos equipos en los que no se ha tenido en cuenta".
En muchos casos, la tecnología OT se diseñó con la idea de que estaría aislada, protegida del acceso exterior y no expuesta a nada más que a su entorno operativo. "Desgraciadamente, el mundo real no estaba tan claramente definido", afirma.
Foresight descubrió numerosos casos de vulnerabilidad relacionados con un diseño deficiente. Por ejemplo, el 38% de las vulnerabilidades descubiertas por Forescout permitían comprometer las credenciales, y el 21% daban a los atacantes una forma de introducir firmware envenenado en el entorno. El catorce por ciento de los fallos se derivaban de la funcionalidad nativa -como las descargas lógicas, las actualizaciones de firmware y las operaciones de lectura/escritura de memoria- que ofrecían a los atacantes una forma de ejecutar código malicioso de forma remota en los sistemas OT.
Por ejemplo, ninguno de los sistemas afectados soportaba la firma lógica, el 62% aceptaba descargas de firmware a través de Ethernet y el 51% autenticaba dichas descargas. Nueve de los 56 fallos descubiertos por Forescout estaban relacionados con protocolos no autentificados.
(No) certificadamente seguro
Resulta inquietante que casi tres cuartas partes -el 74%- de las familias de productos vulnerables tuvieran algún tipo de certificación sobre su idoneidad para el uso en entornos críticos de OT. Algunos ejemplos de estas certificaciones eran ISASecure Component Security Assurance, ISASecure System Security Assurance (SSA), GE Achilles Communications Certification y ANSSI Certification de Sécurité de Premier Niveau.
Según Forescout, el hecho de que los productos vulnerables hayan sido certificados como conformes a estas normas sugiere que las evaluaciones de los productos tuvieron un alcance limitado, se centraron demasiado en las pruebas funcionales o se vieron obstaculizadas por definiciones de seguridad opacas.
La presencia de vulnerabilidades derivadas de un diseño inseguro en los dispositivos y protocolos OT es preocupante debido al creciente interés de los atacantes en estos entornos, afirma Santos. Señala el malware específico para ICS y OT, como Industroyer, Triton e Incontroller, como prueba de las capacidades cada vez más sofisticadas que los atacantes han comenzado a desplegar para atacar instalaciones ICS y OT.
"Los entornos OT/ICS e IoT se están convirtiendo en los objetivos preferidos por los ciberdelincuentes, por muchas razones", afirma Bud Broomhead, CEO de Viakoo.
Entre ellos está el creciente uso de componentes vulnerables de código abierto -como Log4j- en los entornos OT/ICS y el hecho de que los sistemas suelen gestionarse fuera del departamento de TI.
"A menudo, los equipos de OT/ICS carecen de los conocimientos informáticos necesarios para mantener una higiene cibernética completa" y se centran, en cambio, en cuestiones operativas, afirma Broomhead. Como resultado, hay poca supervisión sobre las prácticas de parcheo y la gestión de contraseñas. Los dispositivos OT/ICS a menudo no son visibles para el departamento de TI, o a veces para las organizaciones que los gestionan.
Otro problema es que los dispositivos se utilizan a menudo mucho más allá del plazo de soporte del fabricante.
"Muchos dispositivos OT/ICS están en funcionamiento más allá del tiempo en que el fabricante admite parches o actualizaciones", afirma Broomhead. "Las soluciones de seguridad utilizadas para los sistemas de TI no funcionan para los entornos OT/ISC. Los dispositivos OT/ICS no aceptan agentes y, por lo tanto, las organizaciones deben implementar soluciones, como para la aplicación de parches, la gestión de certificados y la rotación de contraseñas, específicamente diseñadas para entornos OT/ISC."
Fuente: https://www.darkreading.com/vulnerabilities-threats/study-finds-56-vulnerabilities-in-ot-products-from-10-vendors