La vulnerabilidad en los PLC de Schneider Electric permite una adquisición remota indetectable


Apodada Modipwn, la vulnerabilidad afecta a una amplia variedad de controladores lógicos programables Modicon que se utilizan en la fabricación, los servicios públicos, la automatización y otras funciones.

Planta industrial moderna y concepto de red de comunicaciones.

Imagen: metamorworks, Getty Photos / iStockphoto

Una vulnerabilidad descubierta en los controladores lógicos programables Modicon de Schneider Electrical, utilizados en millones de dispositivos en todo el mundo, podría permitir a un atacante remoto obtener un management whole e indetectable sobre los chips, lo que provocaría la ejecución remota de código, la instalación de malware y otros compromisos de seguridad.

Descubierto por investigadores de seguridad en el proveedor de seguridad y visibilidad de activos Armis, la vulnerabilidad, denominado Modipwn, es very similar a la vulnerabilidad que fue aprovechada por el malware Triton que se dirigió a los controladores de seguridad de Schneider Electrical utilizados en las plantas petroquímicas de Arabia Saudita. Los chips Modicon vulnerables a Modipwn se utilizan en fabricación, servicios de construcción, automatización, servicios de energía, HVAC y otras aplicaciones industriales.

VER: Política de respuesta a incidentes de seguridad (TechRepublic High quality)

La vulnerabilidad afecta a los chips Modicon M340, M580 y «otros modelos de la serie Modicon», dijo Armis. Explota el protocolo de servicios de aplicaciones de mensajería unificada de Schneider, que se utiliza para configurar y monitorear los PLC de Schneider, Modicon y otros, aprovechando comandos no documentados que permiten al atacante filtrar hashes de la memoria de un dispositivo.

Una vez filtrado, los atacantes pueden usar el hash robado para hacerse cargo de la conexión segura que UMAS establece entre el PLC y su estación de trabajo de administración, lo que permite al atacante reconfigurar el PLC sin necesidad de conocer una contraseña. La reconfiguración, a su vez, permite al atacante realizar ataques de ejecución remota de código, incluida la instalación de malware y los pasos para ocultar su presencia.

Schneider Electric dijo que aplaude a los investigadores de seguridad como Armis y ha estado trabajando con la compañía para validar sus afirmaciones y determinar los pasos de remediación. «Nuestros hallazgos mutuos demuestran que, si bien las vulnerabilidades descubiertas afectan las ofertas de Schneider Electrical, es posible mitigar los impactos potenciales siguiendo una guía estándar, instrucciones específicas y, en algunos casos, las correcciones proporcionadas por Schneider Electrical para eliminar la vulnerabilidad», dijo Schneider. en una oracion.

Las vulnerabilidades de los sistemas de command industrial han sido un problema creciente en los últimos años, pero es importante tener en cuenta que el hecho de que los PLC como la línea Modicon de Schneder sean vulnerables no significa que un atacante tendrá facilidad para tomar el control de ellos. Los PLC no deberían estar orientados a World wide web: Si es así, un ataque es uncomplicated, pero idealmente un atacante necesitaría obtener acceso a una red segura antes de poder encontrar un PLC para explotar.

Además de mantener los PLC fuera de World wide web, el oficial de riesgo cibernético europeo de Armis, Andy Norton, tiene varias recomendaciones para proteger los dispositivos de World-wide-web de las cosas y otro components de sistemas de handle industrial.

Norton recomienda que todas las organizaciones se aseguren de tener visibilidad en tiempo actual de los activos conectados a Net, internos o externos. «Ya sea en una oficina o en la planta de fabricación, establecer un monitoreo continuo en tiempo authentic permite a los profesionales de seguridad validar las líneas de foundation para el comportamiento del dispositivo, detectar actividad anómala y detener los ataques de dispositivos IoT antes de que se propaguen», dijo Norton.

Las estrategias de gobierno de la privacidad y el acceso también son esenciales, dijo Norton. Hay varias formas de hacer esto, como con la arquitectura de confianza cero, pero independientemente del método, es esencial que exista algo para limitar el acceso a los datos y las diferentes áreas de la pink de una empresa.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Finalmente, Norton recomienda deshabilitar los protocolos universales plug-and-participate in y, en su lugar, configurar cada dispositivo manualmente. «Varios exploits de alto perfil apuntan específicamente a los protocolos UPnP, por lo que la apuesta más segura es configurar manualmente los dispositivos de IoT al introducirlos en el lugar de trabajo», dijo Norton.

Armis tiene hallazgos adicionales y recomendaciones de remediación para Modipwn en su sitio website.

Ver también



Enlace a la noticia authentic