Se han revelado varias vulnerabilidades de seguridad en las plataformas de administración de la nube asociadas con tres proveedores de enrutadores celulares industriales que podrían exponer las redes de tecnología operativa (OT) a ataques externos.
Los hallazgos fueron presentado por la firma israelí de ciberseguridad industrial OTORIO en la conferencia Black Hat Asia 2023 la semana pasada.
Las 11 vulnerabilidades permiten «la ejecución remota de código y el control total sobre cientos de miles de dispositivos y redes OT, en algunos casos, incluso aquellos que no están configurados activamente para usar la nube».
Específicamente, las deficiencias residen en las soluciones de administración basadas en la nube que ofrecen Sierra Wireless, Teltonika Networks e InHand Networks para administrar y operar dispositivos de forma remota.
La explotación exitosa de las vulnerabilidades podría plantear graves riesgos para los entornos industriales, lo que permitiría a los adversarios eludir las capas de seguridad, filtrar información confidencial y lograr la ejecución remota del código en las redes internas.
Peor aún, los problemas podrían armarse para obtener acceso no autorizado a dispositivos en la red y realizar operaciones maliciosas, como el apagado con permisos elevados.
Esto, a su vez, es posible gracias a tres vectores de ataque diferentes que podrían explotarse para comprometer y apoderarse de dispositivos IIoT administrados en la nube a través de sus plataformas de administración basadas en la nube:
- Mecanismos débiles de registro de activos (Sierra Wireless): un atacante podría busque dispositivos no registrados que estén conectados a la nube, obtenga sus números de serie aprovechando la herramienta Comprobador de garantía en línea de AirVantage, regístrelos en una cuenta bajo su control y ejecute comandos arbitrarios.
- Fallas en configuraciones de seguridad (InHand Networks): Un usuario no autorizado podría aprovechar CVE-2023-22601, CVE-2023-22600 y CVE-2023-22598, una falla de inyección de comandos, para obtener la ejecución remota de código con privilegios de root, emitir comandos de reinicio y enviar actualizaciones de firmware.
- API e interfaces externas (Teltonika Networks): Un actor de amenazas podría abusar de varios problemas identificados en el sistema de administración remota (RMS) para «exponer información confidencial de dispositivos y credenciales de dispositivos, habilitar la ejecución remota de código, exponer dispositivos conectados administrados en la red y permitir la suplantación de dispositivos legítimos».
Las seis fallas que afectan a Teltonika Networks (CVE-2023-32346, CVE-2023-32347, CVE-2023-32348, CVE-2023-2586, CVE-2023-2587 y CVE-2023-2588) se descubrieron luego de un «completo investigación» realizada en colaboración con Claroty.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
«Un atacante que explote con éxito estos enrutadores industriales y dispositivos IoT puede causar una serie de impactos en dispositivos y redes comprometidos, incluido el monitoreo del tráfico de red y el robo de datos confidenciales, el secuestro de conexiones a Internet y el acceso a servicios internos», dijo el compañías dicho.
OTORIO dijo que los dispositivos administrados en la nube representan un riesgo «enorme» para la cadena de suministro y que el compromiso de un solo proveedor puede actuar como una puerta trasera para acceder a varias redes OT de una sola vez.
El desarrollo se produce poco más de tres meses después de que la compañía de ciberseguridad revelara 38 fallas de seguridad en los dispositivos inalámbricos industriales de Internet de las cosas (IIoT) que podrían proporcionar a los atacantes una ruta directa a las redes OT internas y poner en riesgo la infraestructura crítica.
«A medida que la implementación de dispositivos IIoT se vuelve más popular, es importante tener en cuenta que sus plataformas de administración en la nube pueden ser atacadas por actores de amenazas», dijo el investigador de seguridad Roni Gavrilov. «La explotación de una única plataforma de proveedor de IIoT podría actuar como un ‘punto de pivote’ para los atacantes, accediendo a miles de entornos a la vez».