Início / Noticias / Kaspersky / Kaspersky ayuda a eliminar errores graves de ciberseguridad en CoDeSys

Kaspersky ayuda a eliminar errores graves de ciberseguridad en CoDeSys

Kaspersky identificar más de una docena de problemas de seguridad en el protocolo de red principal y el Runtime del CoDeSys

Kaspersky ayuda a eliminar errores graves de ciberseguridad en CoDeSys

Los investigadores de Kaspersky ICS CERT han descubierto varias vulnerabilidades en CoDeSys, presente en dispositivos industriales como PLCs y HMI. Estos dispositivos están en el corazón de casi cualquier instalación industrial automatizada, desde infraestructura crítica hasta procesos de producción.

Las vulnerabilidades descubiertas potencialmente permitieron a un atacante realizar ataques destructivos remotos y locales encubiertos en la organización donde se utilizan los PLC desarrollados a través de CoDeSys que corrigió las vulnerabilidades siguiendo un informe de Kaspersky.

Para que un PLC funcione correctamente, estos dispositivos deben programarse. Esta programación se realiza a través de un marco de software especial que ayuda a los ingenieros a codificar y cargar las instrucciones del programa de automatización de procesos en el PLC. Esto también proporciona un runtime para el código del programa PLC. Este software se utiliza en varios entornos, incluida la producción, la generación de energía, las infraestructuras de ciudades inteligentes y muchos más. Como descubrieron los investigadores de Kaspersky, dicho software podría volverse vulnerable e interferir.

Los investigadores investigaron una herramienta sofisticada y poderosa diseñada para desarrollar y controlar programas de PLC. Como resultado, pudieron identificar más de una docena de problemas de seguridad en el protocolo de red principal del framework. y el Runtime del framework, cuatro de los cuales se reconocieron como particularmente graves y se les asignaron ID independientes: CVE-2018-10612, CVE -2018-20026, CVE-2019-9013 y CVE-2018-20025.

Dependiendo de cuál de estos fallos se explota, un atacante podría interceptar y falsificar fallos de comando de red y datos de telemetría, robar y reutilizar contraseñas y otra información de autenticación, inyectar código malicioso en el Runtime y elevar los privilegios del atacante en el sistema, así como otras acciones no autorizadas, todas ocultando efectivamente su presencia en la red atacada.

En la práctica, esto significa que un atacante podría corromper la funcionalidad de los PLC en una instalación en particular u obtener un control total sobre ella, mientras permanece desapercibido para el personal de tecnología de operación (OT) de la instalación atacada. Luego podrían interrumpir las operaciones o robar datos confidenciales, como las propiedades intelectuales y otra información confidencial, como las capacidades de producción en fábrica o los nuevos productos en producción. Esto se suma a la capacidad de supervisar las operaciones de la instalación y reunir otra inteligencia que pueda considerarse sensible en la organización atacada.

Tras el descubrimiento, Kaspersky informó de inmediato estos problemas al proveedor del software afectado. Todas las vulnerabilidades reportadas ahora están reparadas, y los parches están disponibles para los usuarios de framework.

"Las vulnerabilidades que descubrimos estaban proporcionando una superficie de ataque extremadamente amplia para el comportamiento potencialmente malicioso y, dada la extensión del software en cuestión, estamos agradecidos con el proveedor del software por su pronta respuesta y su capacidad para solucionar estos problemas rápidamente. Nos gustaría pensar que, como resultado de esta investigación, pudimos hacer que el trabajo para los atacantes sea mucho más difícil. Sin embargo, muchas de estas vulnerabilidades se habrían descubierto antes, si la comunidad de seguridad estuviera involucrada en el desarrollo del protocolo de comunicación de red en etapas anteriores. Creemos que la colaboración con la comunidad de seguridad debería convertirse en una buena práctica para los desarrolladores de componentes importantes para sistemas industriales, incluidos tanto el hardware como el software. Especialmente teniendo en cuenta que la llamada Industria 4.0, que en gran parte basada en las tecnologías automatizadas modernas está a la vuelta de la esquina ”, comenta Alexander Nochvay, investigador de seguridad de Kaspersky ICS CERT.

"La seguridad del producto es de suma importancia para el Grupo CODESYS. Por lo tanto, apreciamos los resultados exhaustivos de investigación proporcionados por Kaspersky. Nos ayudan a hacer que CODESYS sea aún más seguro. Desde hace muchos años, hemos estado invirtiendo considerables esfuerzos técnicos y administrativos para mejorar permanentemente características de seguridad de CODESYS. Todas las vulnerabilidades detectadas se investigan, evalúan, priorizan y publican de inmediato en un aviso de seguridad. Las correcciones en forma de actualizaciones de software se desarrollan rápidamente y se ponen a disposición de inmediato para todos los usuarios de CODESYS en la Tienda CODESYS ", dijo Roland Wagner, Jefe de Marketing de Producto en el Grupo CODESYS

Para abordar los riesgos potenciales que conlleva la explotación de los problemas reportados, los especialistas de Kaspersky aconsejan las siguientes medidas:

- Se recomienda a los desarrolladores que usan CoDeSys que soliciten la versión actualizada y que luego actualicen el firmware de los dispositivos si se crearon con la ayuda de este  framework.

- Se recomienda a los ingenieros industriales que consideren actualizar el firmware en sus dispositivos con respecto a los procedimientos de administración de parches de su empresa si el dispositivo se creó con la ayuda de este  frameworky si el desarrollador de la actualización relevante emitida por el dispositivo para su producto

- Los dispositivos, donde se implementan entornos de desarrollo y / o SCADA, deben estar equipados con protección relevante

- Los dispositivos utilizados en entornos industriales deberían funcionar en una red aislada y limitada.

- Hasta que se apliquen los parches de firmware, los equipos de seguridad que protegen las redes industriales deberían considerar la implementación de medidas específicas, como soluciones de detección de ataques dirigidos, monitoreo de redes industriales, capacitación regular de seguridad del personal de TI y OT y otras medidas de seguridad necesarias para proteger contra amenazas sofisticadas

Más información

/noticias/marcas/349-kaspersky