Redes

Armis y Honeywell descubren nuevas vulnerabilidades en los sistemas de Honeywell

Las vulnerabilidades recientemente descubiertas en los sistemas de control distribuido podrían permitir a los atacantes obtener acceso a los sistemas que respaldan las operaciones industriales, energéticas, químicas y de otro tipo.

Sistemas de seguridad HoneywellImagen: Honeywell

La empresa de seguridad Armis, en asociación con la empresa de tecnología operativa Honeywell, ha descubierto una nueva vulnerabilidad en la plataforma del sistema de control distribuido Experion de Honeywell. Las dos compañías dijeron que las fallas podrían haber permitido la ejecución remota de malware en los servidores y controladores de Honeywell.

El CIO de Armis Research, Tom Gol, escribió en una publicación de blog que la falla, denominada Crit.IX, proporciona acceso al dispositivo y permite a los atacantes alterar el funcionamiento de los controladores DCS. Señaló que las fallas permiten a los atacantes comprometer dispositivos sin autenticación.

Salta a:

Los controladores DCS consisten en estaciones de trabajo distribuidas a lo largo de una instalación para administrar los procesos de fabricación, generación de energía, plantas petroquímicas y otras operaciones químicas. Debido a la vulnerabilidad, un atacante solo necesita acceso a la red para manipular o comprometer los controladores y las estaciones de trabajo de ingeniería.

«Cualquier activo de TI, IoT y OT comprometido que esté en la misma red que el equipo DCS podría usarse para llevar a cabo ataques», escribió Gol.

VER: PC de ingeniería con alto riesgo de ataque (Tecnopedia)

Los sistemas heredados hacen de la infraestructura industrial un objetivo principal

Según Armis, los sistemas DCS y SCADA (control de supervisión y adquisición de datos) son cada vez más vulnerables. El equipo de investigación de la empresa explicó por correo electrónico que el atractivo de estas redes de infraestructura crítica se debe a la seguridad insuficiente de los sistemas heredados, junto con el potencial de pérdidas financieras significativas, lo que las hace lucrativas para los ciberdelincuentes y los ciberdelincuentes.

«Al explotar una de estas vulnerabilidades, un atacante podría bloquear un controlador en la red, lo que provocaría la pérdida del producto, tiempo de inactividad no planificado, daños en el equipo y el riesgo de lesiones personales», dijeron los investigadores.

La explotación de una sola vulnerabilidad podría permitir la ejecución remota de código en el controlador y el servidor, dijeron, «permitiendo que un atacante altere la operación del controlador mientras lo mantiene oculto en el servidor. Tal ataque podría resultar en la destrucción de insignias farmacéuticas, compuestos y la interrupción de la distribución de energía a los sistemas interconectados aguas abajo».

Vulnerabilidades descubiertas en dispositivos Experion

En mayo de 2023, Armis confirmó a Honeywell que había 13 problemas de código en el controlador y servidor Experion C300, lo que constituye nueve nuevas vulnerabilidades, siete de las cuales fueron críticas, dijo Gol.

Debe leer el informe de seguridad

El equipo de Armis explicó que una combinación de métodos podría comprometer el servidor Honeywell Experion, tomar el control de la estación de trabajo de ingeniería que lo ejecuta y utilizarlo como un bastión para el movimiento lateral y los ataques dentro de la red.

Las vulnerabilidades en el protocolo CDA podrían permitir que un atacante acceda al mismo segmento de red que el controlador, causando daños en la memoria, fallas y denegación de servicio, dijo el equipo.

«Debido a la gravedad y el impacto de estas vulnerabilidades, Honeywell y Armis han estado trabajando juntos para investigar estos hallazgos, comprender el problema subyacente y trabajar para proporcionar parches», escribió Gol, y agregó que Honeywell ha proporcionado parches de seguridad y recomienda encarecidamente que todos los clientes afectados los apliquen de inmediato.

3 plataformas de Honeywell bajo amenaza

Según Amis, tres plataformas Honeywell Experion DCS se ven afectadas y los siguientes productos se ven afectados:

  • Plataforma de sistemas de conocimiento Experion Process.
  • Plataformas LX y PlantCruise (Engineering Station y Direct Station).
  • Controlador C300 DCS, utilizado en las tres plataformas.

Un problema importante es que la versión anterior del protocolo CDA de Honeywell utilizado para la comunicación entre el servidor Honeywell Experion y el controlador C300 carece de mecanismos de encriptación y autenticación adecuados. Esta falta significa que cualquier persona con acceso a la red puede hacerse pasar por controladores y servidores, escribió Gore. Los problemas incluyen posibles desbordamientos de búfer debido a fallas de diseño en el protocolo CDA que dificultan el control de los límites de datos, agregó.

¿Qué tan serios son los ataques de tecnología operativa?Pregunta por Oleoducto Colonial

«En los últimos años se ha visto un aumento en los ataques y vulnerabilidades notables contra objetivos de tecnología operativa (OT), lo que subraya el riesgo creciente para los sistemas de infraestructura crítica», dijo Gol, citando el infame ataque de ransomware Colonial Pipeline en mayo de 2023 y el ataque de 2023 en una acería iraní por parte del grupo Predatory Sparrow, que según el grupo provocó un incendio.

VER: Los ataques de ransomware aumentaron un 91 % en marzo (Tecnopedia)

Pasos para mejorar el problema.

Debido a la gravedad de estas vulnerabilidades y su impacto, Honeywell y Armis han estado colaborando para investigar estos hallazgos, comprender el problema subyacente y desarrollar un parche, dijo el equipo de investigación de Armis.

«Honeywell ha proporcionado parches de seguridad para las nueve vulnerabilidades y recomienda encarecidamente que todas las organizaciones afectadas apliquen estos parches de inmediato”, dijo el equipo de investigación por correo electrónico. Los clientes de Honeywell pueden acceder y aplicar los parches iniciando sesión y buscando en la sección de publicaciones técnicas, dijeron.

“Armis profundizará en esto para impulsar más discusiones sobre estas vulnerabilidades en las próximas semanas y meses”, dijeron.

LEER  Cómo implementar una instancia autohospedada de Passbolt Password Manager

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba