Que supone la vulnerabilidad Apache Log4j para la Ciberseguridad Industrial
La gravedad de la vulnerabilidad Apache Log4j está comenzando expandirse en el sector industrial conforme los proveedores de soluciones Industriales comienzan a identificar la presencia de la vulnerabilidad en sus productos
Hace días que la comunidad internacional de Ciberseguridad esta en alerta tras el descubrimiento de la vulnerabilidad crítica en la biblioteca Apache Log4j CVE-2021-44228 (nivel de gravedad CVSS 10 de 10). Esta vulnerabilidad también es llamada Log4Shell o LogJam, es una vulnerabilidad del tipo de ejecución remota de código (RCE) lo que ofrece a los atacantes la capacidad de ejecutar código arbitrario y tomar el control total del sistema. INICIBE informó sobre esta vulnerabilidad el 13/12/2021
Esta nueva vulnerabilidad afecta a millones de aplicaciones que utilizan esta biblioteca Java para registrar mensajes de error. Según las informaciones , los atacantes ya están explotando activamente esta vulnerabilidad por lo que es necesario actualizar la biblioteca a la versión 2.15.0 y, si esto no fuera posible, usar uno de los métodos descritos en la página Apache Log4j Security Vulnerabilities.
¿Cómo afecta la vulnerabilidad Apache Log4j en la Industria?
La gravedad de la vulnerabilidad Apache Log4j está comenzando expandirse en el sector industrial conforme los proveedores de soluciones Industriales comienzan a identificar la presencia de la vulnerabilidad en sus productos. HMS, ABB, Siemens, Rockwell son algunos de los proveedores que han reconocido la utilización de Apache Log4j en algunos de sus productos. Otros proveedores han revisado y confirmado que no utilizan Apache Log4j en sus productos
La Agencia de Seguridad y Ciberseguridad (CISA) anunció que Log4j se usa ampliamente en una variedad de servicios, sitios web y aplicaciones para consumidores y empresas, así como en productos de tecnología operativa (OT), para registrar información de seguridad y rendimiento. La agencia identificó que un pirata informático remoto no autenticado podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado.
La empresa de Cibersegurdad Dragos a publicado en su blog que "evalúa con gran confianza que esta vulnerabilidad afectará las redes de tecnología operativa (OT), basándose en la ubicuidad de la biblioteca y las metodologías de explotación de rápido crecimiento". " Log4j se encuentra en repositorios populares de código abierto que se utilizan en numerosas aplicaciones industriales, como Object Linking and Embedding for Process Control (OPC) Foundation's Unified Architecture (UA) Java Legacy. Además, los adversarios pueden aprovechar esta vulnerabilidad en sistemas de control de supervisión y adquisición de datos (SCADA) y sistemas de gestión de energía (EMS) que utilizan Java en su base de código." "Dragos Intelligence ha observado tanto el intento como el éxito de la explotación de la vulnerabilidad Log4j en la naturaleza y, en base a estas observaciones, ya coordinó la eliminación de uno de los dominios maliciosos utilizados en los primeros intentos de explotación", agregó.
Para una red OT que incorpore una segmentación sólida, el riesgo de estos protocolos se mitigará hasta cierto punto. Sin embargo, los elementos OT como SCADA / EMS configurados para acceso remoto pueden utilizar LDAP para la administración de contraseñas y, por lo tanto, ser vulnerables a la explotación
Los principales proveedores de OT han comenzado a anunciar el impacto de esta vulnerabilidad en su software y equipo, y continuarán revelaciones adicionales a medida que los proveedores trabajen para identificar el uso de Log4j en sus líneas de productos, dijo Dragos. “Desafortunadamente, la naturaleza de la vulnerabilidad de Log4j dificulta la identificación de servidores potencialmente afectados en una red determinada. Si bien los servicios orientados a la red escritos en Java son los que obviamente están en riesgo, la vulnerabilidad puede afectar técnicamente a cualquier servidor (incluidos los recursos de back-end) donde se procesan y registran los datos proporcionados por el usuario ”, agregó la compañía.
Consultamos a Edorta Echave Garcia, experto en Ciberseguridad Industrial , ¿Qué crees que supone esta vulnerabilidad para el sector Industrial? "En mi opinión, creo que es una gran lección aprendida en varias líneas.
Por un lado, la necesidad por parte de los fabricantes de productos y servicios relacionados con actividades industriales, conozcan exhaustivamente cómo éstos han sido diseñados, desarrollados y utilizados. Esto permitirá emitir comunicados de forma rápida y precisa para corregir las vulnerabilidades o aplicar medidas compensatorias si es que las anteriores no pueden aplicarse por diversos motivos. Se ha dado el caso que 6 días después algún fabricante no había confirmado si sus productos estaban afectados.
A los clientes o integradores, estar suscritos a los comunicados que les permitan tener conocimiento de vulnerabilidades y ser conscientes del potencial impacto, consecuencias y, sobre todo, los riesgos a los que se exponen. A partir de ahí podrán tomar decisiones para asumirlos, mitigarlos, reducirlos o transferirlos. Esto requiere disponer de una correcta gestión de los activos y las comunicaciones que éstos puedan presentar.
A los propietarios de los activos, la necesidad de poner en marcha planes en materia de Ciberseguridad Industrial. Muchos fabricantes, en sus comunicados, recomiendan aplicar medidas basadas en protección de red, reducir la superficie de exposición, parcheo, actualización, etc. El problema está en que, si aún las organizaciones no tienen su maquinaria, infraestructuras, sistemas de control, fábricas o plantas, protegidos, controlados sus accesos, conocedores de los tráficos de red o, simplemente no son conscientes de ello, poco o nada se puede hacer."
INICIBE esta publicando y actualizando en su web Vulnerabilidad Log4Shell afecta a Sistemas de Control Industrial
ABB
"ABB puede necesitar integrar parches o correcciones para abordar estas vulnerabilidades en la biblioteca log4j para los productos afectados, de acuerdo con la política de manejo de vulnerabilidades de ABB. ABB actualmente analizando nuestra cartera de productos para la exposición. Los clientes potencialmente afectados deben esperar comunicaciones o avisos adicionales a medida que se disponga de más detalles." Alguno de los productos afectados son ABB Remote Access Platform (RAP
HMS
HMS ha reportado algunas vulnerabilidades asociadas a sus equipos , recomendando revisar la página de advertencia de seguridad de HMS, que se actualiza tan pronto como hay nueva información disponible sobre seguridad.
Ewon ha realizado los parches necesarios en su infraestructura en la nube Talk2M. Los dispositivos de CD Cozy, Flexy y Ewon no están preocupados por la vulnerabilidad.
Rockwell Automation
"Rockwell Automation es consciente de esta vulnerabilidad y de cómo podría, si se explota, afectar potencialmente los entornos de nuestros clientes. Rockwell Automation está trabajando diligentemente a través del proceso de evaluación sobre cómo las técnicas de mitigación afectarán la funcionalidad y el rendimiento del hardware, el software y los productos y soluciones prediseñados de Rockwell Automation que incorporan este software. Rockwell Automation continuará brindando información actualizada tan pronto como se completen las pruebas internas confiables."
El 17/12/2021 Rockwell Automation casi ha completado la evaluación de la mayoría de las familias de productos para la vulnerabilidad Log4Shell (Comprobar versiones afectadas): Plex (A Rockwell Automation Company) Industrial Internet of Things, Fiix (A Rockwell Automation Company) CMMS™ core V5, Warehouse Management, EIG (Discontinued), Industrial Data Center, VersaVirtual™ Application, FactoryTalk® Analytics™ DataFlowML, FactoryTalk Analytics DataView
Schneider Eectric
Schneider Electric, dijo en un aviso el lunes que "continúa evaluando cómo las vulnerabilidades de Log4j afectan sus ofertas y actualizará a los clientes a través de su portal de soporte de ciberseguridad a medida que la información de mitigación específica del producto esté disponible".
El proveedor francés también recomendó a los clientes que utilicen una solución de detección y respuesta de red (NDR) con reconocimiento de IoT / OT y una solución SIEM / SOAR para detectar automáticamente y monitorear continuamente los dispositivos en busca de comportamientos anómalos o no autorizados, como la comunicación con hosts locales o remotos desconocidos. . Algunos de los productos afectados: EcoStruxure IT Gateway , EcoStruxure IT Expert, Facility Expert Small Business, Wiser by
Siemens
Siemens identificó el lunes la presencia de la vulnerabilidad Apache Log4j en algunas de sus líneas de productos, que potencialmente podrían ser explotadas por atacantes remotos no autenticados para ejecutar código en sistemas vulnerables.
Los productos afectados incluyen E-Car OC Cloud Application, EnergyIP, Industrial Edge Management App (IEM-App), Industrial Edge Management OS (IEM-OS), Industrial Edge Management Hub, LOGO! Soft Comfort, Mendix, MindSphere, Operation Scheduler, Siguard DSA, SIMATIC WinCC v7.4, Siveillance Command, Siveillance Control Pro y Siveillance Vantage.
Además de identificar varias mitigaciones, Siemens aconsejó a los usuarios que protejan el acceso a la red a los dispositivos con los mecanismos adecuados. Para operar los dispositivos en un entorno de TI protegido, Siemens recomienda configurar el entorno de acuerdo con las pautas operativas de Siemens para la seguridad industrial.
Otras empresas tras realizar el estudio de sus equipos anuncian que no han sido afectados. En los próximos días iremos conociendo más datos sobre el alcance de esta vulnerabilidad en el entorno industrial
En este link de GitHub puedes comprobar todos los productos afectados. Sin duda estamos ante un nuevo reto en la Ciberseguridad Industrial