Se han revelado tres vulnerabilidades de seguridad en productos de tecnología operativa (OT) de Wago y Schneider Electric.
Las fallas, según Forescout, son parte de un conjunto más amplio de deficiencias denominadas colectivamente OT: CAÍDA DE HIELOque ahora comprende un total de 61 números que abarcan 13 proveedores diferentes.
«OT:ICEFALL demuestra la necesidad de un escrutinio más estricto y mejoras en los procesos relacionados con el diseño seguro, la aplicación de parches y las pruebas en los proveedores de dispositivos OT», dijo la empresa. dicho en un informe compartido con The Hacker News.
El más grave de los defectos es CVE-2022-46680 (puntuación CVSS: 8,8), que se refiere a la transmisión de credenciales en texto sin formato en el protocolo ION/TCP utilizado por los medidores de energía de Schneider Electric.
La explotación exitosa del error podría permitir a los actores de amenazas obtener el control de los dispositivos vulnerables. Vale la pena señalar que CVE-2022-46680 es una de las 56 fallas descubiertas originalmente por Forescout en junio de 2022.
Los otros dos nuevos agujeros de seguridad (CVE-2023-1619 y CVE-2023-1620puntajes CVSS: 4.9) se relacionan con errores de denegación de servicio (DoS) que afectan a los controladores WAGO 750 que podrían ser activados por un atacante autenticado mediante el envío de paquetes malformados específicos o solicitudes específicas después de cerrar la sesión.
Al concluir la investigación de OT:ICEFALL, Forescout señala que los proveedores aún carecen de una comprensión fundamental de las prácticas de diseño seguro y que lanzan parches incompletos y no implementan los procedimientos de prueba de seguridad adecuados.
«Esto es preocupante porque a medida que los productos OT comienzan a implementar controles de seguridad y terminan obteniendo la certificación, la percepción de su postura de seguridad puede cambiar y la sensación de urgencia en torno a los controles de compensación puede disminuir, lo que lleva a una falsa sensación de seguridad», dijo la compañía.