Un equipo de investigadores descubrió seis vulnerabilidades de día cero en protocolos y componentes individuales utilizados en edificios inteligentes.
Las fallas podrían usarse para robar información confidencial, acceder o eliminar archivos críticos, o realizar acciones maliciosas.
Los fallos varían desde los scripts entre sitios (XSS) y el recorrido de la ruta, hasta la eliminación arbitraria de archivos y la omisión de autenticación. Se encontraron en dispositivos de automatización de edificios, como controladores lógicos programables (PLC) y protocolos de pasarela.
Los datos agregados de dos motores de búsqueda para descubrir hardware de computadora conectado a Internet muestran que miles de dispositivos afectados por estas vulnerabilidades están expuestos en línea.
Para demostrar que los riesgos en los edificios modernos e inteligentes son reales, los investigadores crearon un malware de prueba de concepto que se enfocó en la vigilancia, el control de acceso y los sistemas HVAC configurados en un laboratorio.
Sin embargo, una red típica del Sistema de automatización de edificios (BAS) es más grande que esto, y comprende una variedad de sistemas, como ascensores, sistemas de control de acceso, videovigilancia, HVAC, iluminación, alarmas contra incendios o sistemas que producen energía.
Este tipo de infraestructura está presente no solo en edificios residenciales y comerciales, sino también en hospitales, aeropuertos, estadios, escuelas o centros de datos.
Siguiendo los estándares de evaluación de seguridad y pruebas de penetración, los miembros del equipo de investigación de OT en ForeScout comenzaron a evaluar sus objetivos.
Encontraron tres vulnerabilidades XSS en el control de acceso PLC y la puerta de enlace del protocolo, un componente que permite conexiones a través de un protocolo específico. Se puede usar para inyectar scripts maliciosos en la interfaz web que se ejecuta en los dispositivos vulnerables, lo que le brinda al atacante acceso a cookies y tokens de sesión.
El componente de la puerta de enlace del protocolo también se vio afectado por una ruta de acceso y una vulnerabilidad de eliminación de archivos arbitraria, que proporciona acceso a los archivos (sistema incluido) y directorios presentes fuera de la carpeta raíz de la aplicación web que se ejecuta en el dispositivo afectado.
Otra vulnerabilidad desconocida para el proveedor antes de que el investigador informara fue en el PLC HVAC, una derivación de autenticación que permite el robo de credenciales de usuario, "incluidas las contraseñas de texto sin formato".
Otros dos problemas, un desbordamiento de búfer y una contraseña codificada, se descubrieron en el Control de Control PLC desde junio de 2013. Sin embargo, el proveedor los conoció antes de la divulgación de ForeScout y lanzó un parche.
Estas fallas son las más graves del grupo, ya que podrían permitir la ejecución de código en el sistema, permitiendo que un atacante remoto tome el control total.
Todas las vulnerabilidades se divulgaron de forma responsable a los proveedores de los productos afectados y los parches ahora están disponibles.
Dispositivos vulnerables expuestos
Los investigadores de ForeScout verificaron cuántos de los sistemas que analizaron eran vulnerables y estaban expuestos.
Buscaron en Shodan y Censys los mismos modelos en su laboratorio y encontraron que de un total de 22,902 dispositivos accesibles al público (cámaras IP excluidas), 9,103 se vieron afectados por los días cero que descubrieron.
Las cosas son peores con las cámaras IP en el sistema de vigilancia. De los 11,269 dispositivos, más del 91% (10,312) eran vulnerables.
Puerta a una red BAS: sistemas expuestos públicamente.
Elisa Costante, Directora de Innovación Tecnológica en ForeScout, presentó los hallazgos del equipo en una presentación hoy en el evento de seguridad S4X19 ICS en Miami South Beach.
Ella dice que en una arquitectura ideal, los subsistemas estarían aislados entre sí y de la red de TI. En la práctica, esto rara vez es el caso, sin embargo.
Uno de los puntos débiles es que la implementación de las funciones de seguridad para la autenticación de datos es opcional. Además, muchos edificios se basan en versiones antiguas de los protocolos y no intercambian datos de forma segura.
"Independientemente del protocolo empleado, IoT y los dispositivos de automatización de edificios son notoriamente vulnerables a, por ejemplo, vulnerabilidades de corrupción de memoria e inyección, debido a las malas prácticas de codificación, que permiten a los atacantes pasar por alto sus funciones de seguridad y obtener el control total de ellas", dice la investigación Informe de ForeScout compartido con BleepingComputer.
Según el informe, el malware diseñado para golpear la red BAS podría tener cuatro posibles rutas de ataque:
- PLCs accesibles públicamente (controladores lógicos programables) que controlan los actuadores y sensores
- Estaciones de trabajo expuestas responsables con la gestión de todo el sistema; el atacante tendría que moverse lateralmente para alcanzar los PLC
- Dispositivos de IoT accesibles públicamente (una cámara IP o enrutador) y usarlos como un punto de entrada a la red, luego pasar a las estaciones de trabajo y otros subsistemas
- Red con espacio de aire: esto requiere acceso físico para ingresar a la red, pero esto no es difícil de lograr la mayoría de las veces, y luego tratar de alcanzar los PLC
Los dispositivos expuestos en Internet son detectables a través de motores de búsqueda dedicados (Shodan, Censys, ZoomEye) que buscan sistemas que están en línea. Si son accesibles y no deberían serlo, lo más probable es que se deba a una mala configuración o debilidad inherente.
El malware dirigido a la tecnología operativa (OT) puede ingresar a la red desde una estación de trabajo de administración, cuyo administrador fue víctima de un ataque de phishing. Puede moverse lateralmente o mantenerse en el mismo nivel. Una vez que logra la persistencia en la red, normalmente lanza una carga útil final.
Los sistemas de automatización conectados en los edificios ofrecen una amplia superficie de ataque que podría reducirse mediante la aplicación de parches para las vulnerabilidades reportadas. Pero a pesar de la disponibilidad de una solución, siguen siendo vulnerables, lo que deja abierta la posibilidad de ataques cibernéticos a gran escala.
Fecha actualización el 2021-01-16. Fecha publicación el 2019-01-16. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer