Automatización de Rockwell
Microsoft reveló el viernes 15 vulnerabilidades de alta gravedad en una colección de herramientas ampliamente utilizada para programar dispositivos operativos dentro de instalaciones industriales como plantas para generación de energía, automatización de fábricas, automatización de energía y automatización de procesos. La compañía advirtió que si bien era difícil explotar las vulnerabilidades de ejecución de código y denegación de servicio, permitía a los actores de amenazas «infligir un gran daño a los objetivos».
Las vulnerabilidades afectan el kit de desarrollo de software CODESYS V3. Los desarrolladores de empresas como Schneider Electric y WAGO utilizan las herramientas independientes de la plataforma para desarrollar controladores lógicos programables, dispositivos del tamaño de una tostadora que abren y cierran válvulas, giran rotores y controlan otros dispositivos físicos en instalaciones industriales de todo el mundo. Específicamente, el SDK permite a los desarrolladores hacer que los PLC sean compatibles con IEC 611131-3, un estándar internacional que define lenguajes de programación que son seguros para usar en entornos industriales. Ejemplos de dispositivos que utilizan CODESYS V3 incluyen Modicon TM251 de Schneider Electric y WAGO PFC200.
“Un ataque de DOS contra un dispositivo que usa una versión vulnerable de CODESYS podría permitir que los actores de amenazas apaguen una planta de energía, mientras que la ejecución remota de código podría crear una puerta trasera para los dispositivos y permitir que los atacantes manipulen las operaciones, hacer que un PLC se ejecute de una manera inusual. o robar información crítica”, escribieron los investigadores de Microsoft. El aviso del viernes continuó diciendo:
Con CODESYS siendo utilizado por muchos proveedores, una vulnerabilidad puede afectar a muchos sectores, tipos de dispositivos y verticales, por no hablar de múltiples vulnerabilidades. Todas las vulnerabilidades pueden conducir a DoS y 1 RCE. Si bien la explotación de las vulnerabilidades descubiertas requiere un conocimiento profundo del protocolo propietario de CODESYS V3, así como la autenticación del usuario (y se requieren permisos adicionales para que una cuenta tenga el control del PLC), un ataque exitoso tiene el potencial de infligir un gran daño a los objetivos. Los actores de amenazas podrían lanzar un ataque DoS contra un dispositivo utilizando una versión vulnerable de CODESYS para cerrar las operaciones industriales o explotar las vulnerabilidades de RCE para implementar una puerta trasera para robar datos confidenciales, alterar las operaciones o forzar a un PLC a operar de una manera peligrosa.
Microsoft notificó en privado a Codesys sobre las vulnerabilidades en septiembre y, desde entonces, la empresa ha lanzado parches que corrigen las vulnerabilidades. Es probable que, a estas alturas, muchos proveedores que utilizan el SDK hayan instalado actualizaciones. Cualquiera que no lo haya hecho debería convertirlo en una prioridad.
Microsoft dijo que explotar las vulnerabilidades requería un conocimiento profundo del protocolo propietario de Codesys. También requiere que los atacantes superen un gran obstáculo en la forma de obtener la autenticación de un dispositivo vulnerable. Una forma de lograr la autenticación es explotar una vulnerabilidad ya parcheada rastreada como CVE-2019-9013 en caso de que un PLC aún no haya sido parcheado contra ella.
Si bien las vulnerabilidades son difíciles de explotar, los actores de amenazas han podido realizar este tipo de ataques en el pasado. El malware rastreado como Triton y Trisis se ha utilizado en al menos dos instalaciones críticas. El malware, atribuido al Kremlin, está diseñado para desactivar los sistemas de seguridad que detectan y remedian condiciones inseguras.
Sin embargo, tales ataques son raros. Combinado con la probabilidad de que las 15 vulnerabilidades estén parcheadas en la mayoría de los entornos de producción previamente vulnerables, las terribles consecuencias de las que advierte Microsoft parecen poco probables.
En un correo electrónico recibido después de que esta publicación se publicara en Ars, Jimmy Wylie y Sam Hanson, ambos investigadores de la firma de seguridad de control industrial Dragos, proporcionaron esta evaluación de las vulnerabilidades:
Dada la participación de mercado de CODESYS y la base de clientes de la industria, los clientes y proveedores deben tomar en serio las vulnerabilidades como estas descubiertas por Microsoft. Dicho esto, CODESYS no es una generación de energía ampliamente utilizada tanto como la fabricación discreta y otros tipos de control de procesos. De modo que eso en sí mismo debería disipar cierta preocupación cuando se trata del potencial de «cerrar una planta de energía».
Al observar específicamente estas vulnerabilidades y el aviso publicado de CODESYS, todas requieren autenticación para una explotación exitosa. Pero si un adversario está autenticado (tiene el nombre de usuario y la contraseña) en su PLC, tiene problemas mayores que estos CVE, y pueden hacer todo tipo de cosas que hacen que los CVE sean innecesarios.
De cualquier manera, simplemente tener un exploit RCE o DOS no es lo mismo que tener la capacidad de cerrar una planta de energía o, por ejemplo, hacer cambios específicos en un proceso de fabricación. Por ejemplo, el ataque TRISIS en 2017 incluyó un exploit de día cero para ese controlador de seguridad y, aunque sabemos que los atacantes estuvieron allí durante bastante tiempo, nunca pudieron hacer nada realmente desastroso, más allá de algunas consecuencias financieras. La razón es que los sistemas industriales son extremadamente complejos, y poder acceder a una parte no significa necesariamente que todo se derrumbará. Estas cosas no son torres jenga tambaleantes, donde un ladrillo significa un colapso inminente. Son más como rascacielos diseñados para resistir una variedad de factores como el viento y los terremotos.
Las vulnerabilidades se rastrean como:
Codesys emitió el viernes su propio aviso, y Microsoft ha puesto a disposición un código aquí que ayuda a las organizaciones a identificar cualquier dispositivo vulnerable que aún pueda estar en uso.