Investigadores de seguridad han descubierto una nueva vulnerabilidad en una plataforma de software de Siemens que ayuda a mantener los sistemas de control industrial para grandes instalaciones de infraestructuras críticas, como las plantas de energía nuclear. Si son explotados, un atacante podría obtener acceso a estos sistemas por espionaje o causar daños físicos generalizados, advirtieron los investigadores de la firma de seguridad Tenable en un blog publicado el martes.
La vulnerabilidad se encuentra en la misma plataforma de software de Siemens utilizada por los creadores de Stuxnet para ayudar a difundir ese malware contra las instalaciones nucleares de Irán hace casi una década.
A principios de este mes, Siemens emitió un parche para la vulnerabilidad, denominado CVE-2019-10915. Joe Bingham, un ingeniero de investigación senior de Tenable, dice que la vulnerabilidad aparentemente no ha sido explotada.
“En julio hemos lanzado una actualización para TIA Administrator, que corrige la vulnerabilidad reportada por la compañía de seguridad Tenable”, dijo un portavoz de Siemens. La vulnerabilidad afecta al STEP 7 TIA Portal de Siemens (exploit), un software de diseño y automatización ampliamente utilizado para sistemas de control industrial, según el blog del martes.
Si bien se necesitaría una gran cantidad de habilidades técnicas y conocimientos para explotar esta vulnerabilidad, Bingham dice que una vez dentro de una red industrial, un atacante podría saltar de un sistema a otro y causar un gran daño.
“Esta vulnerabilidad podría usarse para el espionaje cibernético, mapeo de la red, interrupción y exfiltración de datos”, dice Bingham. “La falla no solo ofrece otro punto de apoyo, sino que el TIA Portal proporciona control y automatización en entornos de producción, por lo que un atacante también podría modificar fácilmente el código y la lógica del sistema [tecnología de operación]”.
Problemas del sistema de control industrial
En los últimos años, los investigadores de seguridad han comenzado a centrarse más en las vulnerabilidades de las tecnologías operativas, como los sistemas de control industrial y los sistemas de control de supervisión y adquisición de datos, que ayudan a mantener, controlar y asegurar las instalaciones a gran escala, incluidas las que se utilizan en el Sector transporte, industrial, médico, manufacturero y energético.
Los investigadores han notado un alza por parte de los actores de amenazas de los estados nacionales que intentan explotar sistemas vulnerables como parte de campañas de espionaje o interrupciones. Estos tipos de operaciones son técnicamente sofisticadas y llevan mucho tiempo, señalan.
En 2017, una firma de petróleo y gas no revelada en Arabia Saudita fue alcanzada por un malware denominado Trisis o Triton, según investigadores de seguridad. El código malicioso se dirigió a los controladores del Sistema de Instrumentos de Seguridad Triconex, desarrollados por Schneider Electric, que están diseñados como un control de seguridad para la maquinaria crítica dentro de las instalaciones industriales. La interferencia con estos controladores podría causar daños masivos a una planta o provocar un cierre completo, según los investigadores.
Un informe reciente de la firma de seguridad Drago vinculó el malware utilizado contra esta compañía de petróleo y gas a un grupo anteriormente desconocido llamado Xenotime.
¿Un escalón?
De acuerdo con la investigación de Tenable, si un atacante lo explotaba, la vulnerabilidad del portal de Siemens podría usarse como un trampolín en un ataque personalizado contra la infraestructura crítica completa de una instalación.
Al explotar CVE-2019-10915, un atacante remoto podría omitir la autenticación HTTP y acceder a todas las funciones de administrador al enviar directamente los comandos de WebSocket a un servidor, dice Tenable. Una vez dentro de la red, el atacante podría realizar acciones administrativas dentro de sistemas vulnerables, incluida la adición de códigos maliciosos a sistemas de control industrial adyacentes dentro de la instalación, según Tenable.
Los investigadores de Tenable señalan que un atacante también podría explotar la vulnerabilidad a la recolección de datos para planear otros ataques dirigidos. Según Bingham, las formas convencionales de proteger los sistemas de control industrial, como las redes segmentadas o los cortafuegos, no pueden impedir que alguien explote la vulnerabilidad.
Lo que hace que esta vulnerabilidad sea algo inusual, señala Bingham, es que se encontró en una moderna plataforma de software que es parcheada regularmente por Siemens. Señala que muchas de las vulnerabilidades explotadas por los atacantes se encuentran en sistemas antiguos y obsoletos que ya no se mantienen o que no se han solucionado.
“La vulnerabilidad no se encuentra específicamente en el código heredado; el software se comercializa para operaciones modernas y se repara y mantiene regularmente”, dice Bingham. “Dicho esto, ICS a menudo está plagado de vulnerabilidades, lo que hace que sea aún más crítico que los proveedores de ICS sean rápidos y proactivos cuando se trata de corregir fallas”.