Se han revelado vulnerabilidades de seguridad críticas en seis sistemas diferentes de medición automática de tanques (ATG) de cinco fabricantes que podrían exponerlos a ataques remotos.
“Estas vulnerabilidades plantean importantes riesgos en el mundo real, ya que podrían ser explotadas por actores maliciosos para causar daños generalizados, incluidos daños físicos, peligros ambientales y pérdidas económicas”, dijo el investigador de Bitsight Pedro Umbelino. dicho en un informe publicado la semana pasada.
Para empeorar las cosas, el análisis encontró que miles de ATG están expuestos a Internet, lo que los convierte en un objetivo lucrativo para actores maliciosos que buscan realizar ataques disruptivos y destructivos contra gasolineras, hospitales, aeropuertos, bases militares y otras instalaciones de infraestructura crítica.
Los ATG son sistemas de sensores diseñados para monitorear el nivel de un tanque de almacenamiento (por ejemplo, tanque de combustible) durante un período de tiempo con el objetivo de determinar fugas y parámetros. Por lo tanto, la explotación de fallas de seguridad en dichos sistemas podría tener consecuencias graves, incluida la denegación de servicio (DoS) y daños físicos.
Las 11 vulnerabilidades recién descubiertas afectar seis modelos ATG, a saber, Maglink LX, Maglink LX4, OPW SiteSentinel, Proteus OEL8000, Alisonic Sibylla y Franklin TS-550. Ocho de los 11 defectos están clasificados como críticos en cuanto a gravedad:
- CVE-2024-45066 (puntuación CVSS: 10.0): inyección de comandos del sistema operativo en Maglink LX
- CVE-2024-43693 (puntuación CVSS: 10.0): inyección de comandos del sistema operativo en Maglink LX
- CVE-2024-43423 (puntuación CVSS: 9,8): credenciales codificadas en Maglink LX4
- CVE-2024-8310 (puntuación CVSS: 9,8): omisión de autenticación en OPW SiteSentinel
- CVE-2024-6981 (puntuación CVSS: 9,8): omisión de autenticación en Proteus OEL8000
- CVE-2024-43692 (puntuación CVSS: 9,8): omisión de autenticación en Maglink LX
- CVE-2024-8630 (puntuación CVSS: 9,4): inyección SQL en Alisonic Sibylla
- CVE-2023-41256 (puntuación CVSS: 9,1): omisión de autenticación en Maglink LX (un duplicado de una falla previamente revelada)
- CVE-2024-41725 (puntuación CVSS: 8,8): secuencias de comandos entre sitios (XSS) en Maglink LX
- CVE-2024-45373 (puntuación CVSS: 8,8): escalada de privilegios en Maglink LX4
- CVE-2024-8497 (puntuación CVSS: 7,5): archivo arbitrario leído en Franklin TS-550
“Todas estas vulnerabilidades permiten privilegios completos de administrador de la aplicación del dispositivo y, algunas de ellas, acceso completo al sistema operativo”, dijo Umbelino. “El ataque más dañino es hacer que los dispositivos funcionen de una manera que pueda causar daños físicos a sus componentes o a los componentes conectados a ellos”.
Defectos descubiertos en OpenPLC, Riello NetMan 204 y AJCloud
También se han descubierto fallas de seguridad en la solución OpenPLC de código abierto, incluido un error crítico de desbordamiento del búfer basado en pila (CVE-2024-34026, puntuación CVSS: 9.0) que podría explotarse para lograr la ejecución remota de código.
“Al enviar una solicitud ENIP con un código de comando no compatible, un encabezado de encapsulación válido y al menos 500 bytes en total, es posible escribir más allá del límite del buffer log_msg asignado y corromper la pila”, Cisco Talos dicho. “Dependiendo de las precauciones de seguridad habilitadas en el host en cuestión, podría ser posible una mayor explotación”.
Otro conjunto de agujeros de seguridad se refiere a la tarjeta de comunicaciones de red Riello NetMan 204 utilizada en sus sistemas de suministro de energía ininterrumpida (UPS) que podría permitir a actores maliciosos tomar el control del UPS e incluso alterar los datos de registro recopilados.
- CVE-2024-8877: inyección de SQL en tres puntos finales API /cgi-bin/db_datalog_w.cgi, /cgi-bin/db_eventlog_w.cgi y /cgi-bin/db_multimetr_w.cgi que permite la modificación arbitraria de datos
- CVE-2024-8878: Restablecimiento de contraseña no autenticado a través del punto final /recoverpassword.html que podría usarse de forma abusiva para obtener el netmanid del dispositivo, a partir del cual se puede calcular el código de recuperación para restablecer la contraseña.
“Al ingresar el código de recuperación en ‘/recoverpassword.html’ se restablecen las credenciales de inicio de sesión en admin:admin”, Thomas Weber de CyberDanube dichoseñalando que esto podría otorgarle al atacante la capacidad de secuestrar el dispositivo y apagarlo.
Ambas vulnerabilidades siguen sin parchearse, lo que requiere que los usuarios limiten el acceso a los dispositivos en entornos críticos hasta que haya una solución disponible.
También cabe destacar varias vulnerabilidades críticas en el AJCloud Plataforma de gestión de cámaras IP que, si se explota con éxito, podría exponer datos confidenciales del usuario y proporcionar a los atacantes control remoto total de cualquier cámara conectada al servicio de nube del hogar inteligente.
“Se puede aprovechar un comando P2P incorporado, que proporciona intencionalmente acceso de escritura arbitrario a un archivo de configuración clave, para desactivar permanentemente las cámaras o facilitar la ejecución remota de código mediante la activación de un desbordamiento del búfer”, Elastic Security Labs dichoafirmando que sus esfuerzos por llegar a la empresa china han sido infructuosos hasta la fecha.
CISA advierte sobre continuos ataques contra redes OT
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) señaló mayores amenazas a los dispositivos de tecnología operativa (OT) y sistemas de control industrial (ICS) accesibles a Internet, incluidos aquellos en el sector de sistemas de agua y aguas residuales (WWS).
“Los sistemas OT/ICS expuestos y vulnerables pueden permitir que los actores de amenazas cibernéticas utilicen credenciales predeterminadas, realicen ataques de fuerza bruta o utilicen otros métodos poco sofisticados para acceder a estos dispositivos y causar daños”, CISA dicho.
A principios de febrero, el gobierno de Estados Unidos sancionó a seis funcionarios asociados con la agencia de inteligencia iraní por atacar entidades de infraestructura crítica en Estados Unidos y otros países.
Estos ataques involucraron apuntar y comprometer controladores lógicos programables (PLC) Unitronics Vision Series de fabricación israelí que están expuestos públicamente a Internet mediante el uso de contraseñas predeterminadas.
Desde entonces, la empresa de ciberseguridad industrial Claroty ha abierto dos herramientas llamadas PCOM2TCP y PCOMClient que permiten a los usuarios extraer información forense de HMI/PLC integrados en Unitronics.
“PCOM2TCP permite a los usuarios convertir mensajes PCOM seriales en mensajes TCP PCOM y viceversa”, dicho. “La segunda herramienta, llamada PCOMClient, permite a los usuarios conectarse a su PLC de la serie Unitronics Vision/Samba, consultarlo y extraer información forense del PLC”.
Además, Claroty ha advertido de que el excesivo despliegue de soluciones de acceso remoto dentro de entornos TO (entre cuatro y 16) crea nuevos riesgos operativos y de seguridad para las organizaciones.
“El 55% de las organizaciones implementaron cuatro o más herramientas de acceso remoto que conectan OT con el mundo exterior, un porcentaje preocupante de empresas que tienen superficies de ataque expansivas que son complejas y costosas de administrar”, anotado.
“Los ingenieros y administradores de activos deben buscar activamente eliminar o minimizar el uso de herramientas de acceso remoto de baja seguridad en el entorno OT, especialmente aquellas con vulnerabilidades conocidas o aquellas que carecen de características de seguridad esenciales como MFA”.