Los investigadores han revelado detalles de tres nuevas vulnerabilidades de seguridad que afectan a los productos de tecnología operativa (OT) de CODESYS y Festo que podrían provocar la manipulación del código fuente y la denegación de servicio (DoS).
Las vulnerabilidades, reportadas por Forescout Vedere Labs, son las últimas de una larga lista de fallas rastreadas colectivamente bajo el nombre OT:ICEFALL.
«Estos problemas ejemplifican un enfoque inseguro por diseño, que era habitual en el momento en que se lanzaron los productos, donde los fabricantes incluyen funciones peligrosas a las que se puede acceder sin autenticación o una implementación deficiente de los controles de seguridad, como la criptografía». investigadores dijo.
El más crítico de los defectos es CVE-2022-3270 (puntuación CVSS: 9,8), una vulnerabilidad crítica que afecta a los controladores de automatización de Festo que utilizan el protocolo Festo Generic Multicast (FGMC) para reiniciar los dispositivos sin necesidad de autenticación y provocar una condición de denegación de servicio (DoS).
Otra deficiencia de DoS en los controladores de Festo (CVE-2022-3079puntuación CVSS: 7,5) se relaciona con un caso de acceso remoto no autenticado a una página web no documentada («cec-reboot.php») que podría ser aprovechada por un atacante con acceso de red a Festo CPX-CEC-C1 y CPX-CMXX PLC.
El tercer problema, por otro lado, se refiere al uso de criptografía débil en el entorno de tiempo de ejecución de CODESYS V3 para asegurar el código de descarga y las aplicaciones de arranque (CVE-2022-4048puntaje CVSS: 7.7), que podría ser abusado por un mal actor para descifrar y manipular el código fuente, socavando así las protecciones de confidencialidad e integridad.
Forescout dijo que también identificó dos errores conocidos de CODESYS que afectan a los controladores Festo CPX-CEC-C1 (CVE-2022-31806 y CVE-2022-22515) que se derivan de una configuración insegura en el entorno de tiempo de ejecución de Control, y podría dar lugar a una denegación de servicio sin autenticación.
«Este es otro ejemplo más de un problema de la cadena de suministro en el que no se ha revelado una vulnerabilidad para todos los productos a los que afecta», dijeron los investigadores.
Para mitigar las amenazas potenciales, se recomienda a las organizaciones que descubran e inventarian los dispositivos vulnerables, apliquen controles de segmentación de red adecuados y supervisen el tráfico de red en busca de actividad anómala.