Armis revela una vulnerabilidad crítica que permite la toma de control remoto de los controladores industriales de Schneider Electric

Los investigadores de Armisel proveedor de plataformas de seguridad y visibilidad unificada de activos, han revelado el descubrimiento de una vulnerabilidad de derivación de autenticación en Schneider Electric Los controladores lógicos programables (PLC) Modicon que pueden conducir a la ejecución remota de códigos (RCE). La vulnerabilidad, denominada Modipwn, permite una toma de control completa de los dispositivos afectados aprovechando el protocolo UMAS, y afecta a los Modicon M340, M580 y otros modelos de la serie Modicon. Millones de dispositivos utilizan estos PLC y ahora se considera que están en riesgo en lo que se considera una vulnerabilidad a gran escala. Estos controladores se utilizan ampliamente en la fabricación, los servicios de construcción, las aplicaciones de automatización, las empresas de energía y los sistemas de climatización, por ejemplo.

¿Cómo utilizaría un atacante el Modipwn?

Un ataque que aprovecha Modipwn comenzaría con el acceso a la red de un PLC Modicon. A través de este acceso, el atacante puede aprovechar comandos no documentados en el protocolo UMAS y filtrar un determinado hash de la memoria del dispositivo. Usando este hash, el atacante puede tomar el control de la conexión segura entre el controlador y su estación de trabajo de gestión para reconfigurar el controlador con una configuración sin contraseña. Esto permitirá al atacante abusar de comandos adicionales no documentados que conducen a la ejecución de códigos remotos – una toma de posesión completa del dispositivo. Se puede ver una demostración aquí.

Esta toma de control puede ser utilizada para instalar malware en el controlador que altere su funcionamiento y ocultar la existencia de estas alteraciones a la estación de trabajo que gestiona este controlador.

El CVE para esta vulnerabilidad es CVE-2021-22779.

El malware Triton, por ejemplo, fue detectado atacando controladores de seguridad de Schneider Electric utilizados en plantas petroquímicas de Arabia Saudí. Los ataques que alteran el funcionamiento de los controladores industriales son una amenaza tanto para la continuidad del negocio como para la seguridad, y los ataques que se ocultan de las soluciones de monitorización pueden ser extremadamente difíciles de detectar.

«Armis y Schneider Electric han trabajado juntos para garantizar que se proporcionen las mitigaciones de seguridad adecuadas. Instamos a todas las organizaciones afectadas a tomar medidas ahora», dijo Ben Seri, de Armis. «El problema de estos dispositivos heredados que se encuentran en los entornos OT es que históricamente han evolucionado sobre protocolos no cifrados. Llevará tiempo abordar estos débiles protocolos subyacentes. Mientras tanto, las organizaciones que operan en estos entornos deben asegurarse de tener visibilidad sobre estos dispositivos para ver dónde están sus puntos de exposición. Esto es crucial para evitar que los atacantes puedan controlar sus sistemas, o incluso pedir un rescate por ellos».

RECOMENDADO  Los aficionados del West Ham tienen datos filtrados por la web del club