Vulnerabilidad de Microsoft Windows RDS (Remote Desktop Service) en Sistemas de Control Industrial
Fecha de publicación:
20/05/2019
Importancia:
5 -
Crítica
Recursos afectados:
Varios fabricantes de productos de Sistemas de Control Industrial se han visto afectados por esta vulnerabilidad en el servicio RDS, entre ellos:
- [Actualización 11/09/2019] Varios productos de la gama Siemens Healthineers afectados por DejaBlue.
- [Actualización 09/07/2019] Varios productos de la gama Siemens Healthineers.
- [Actualización 17/07/2019]Varios productos de Schneider Electric que utilizan Microsoft Windows como sistema operativo.
- [Actualización 30/06/2019] Varios productos de Philips.
- [Actualización 30/05/2019] Varios productos de Pepperl+Fuchs:
- VisuNet RM*
- VisuNet PC*
- Box Thin Client BTC*
- [Actualización 03/10/2019] Varios productos de Bosch.
Descripción:
La publicación de las actualizaciones de seguridad de Microsoft, publicadas este mes de mayo, describe una vulnerabilidad que afecta al servicio de RDS (Remote Desktop Service), que afectaría a varios productos industriales que utilizan este servicio en sus productos, como la gama de Siemens Healthineers y varios productos de Schneider Electric. Esta vulnerabilidad permitiría a un atacante remoto no autenticado, la ejecución de código remoto en el sistema objetivo, si este sistema tiene accesible a la red el servicio de RDS (Remote Desktop Service) de Microsoft Windows. Este aviso ya fue publicado en INCIBE-CERT para sistemas de TI, como Boletín de seguridad de Microsoft de mayo de 2019.
Solución:
- Microsoft dispone de actualización para los sistemas operativos afectados, que soluciona la vulnerabilidad en RDS (Remote Desktop Service).
- [Actualización 23/05/2019] Para los productos que están en fase de fin de soporte, no se prevén actualizaciones. Por lo tanto, Siemens recomienda cerrar el puerto RDP cuando sea posible o desconectar estos dispositivos de la red.
- [Actualización 30/05/2019] Para dispositivos HMI de Pepperl+Fuchs que ejecutan RM Shell 4 con RDS (Remote Desktop Services) habilitado, deben actualizarse con los parches de seguridad RM Image 4 desde 01/2017 hasta 09/2019 (18-33400G).
- [Actualización 24/10/2019] Para dispositivos HMI de Pepperl+Fuchs que ejecutan RM Shell 4 con RDS (Remote Desktop Services) habilitado, deben actualizarse con los parches de seguridad RM Image 5 09/2019 (18-33624E).
- [Actualización 16/08/2019] Microsoft dispone de actualización para los sistemas operativos afectados, que soluciona la vulnerabilidad en RDS (Remote Desktop Service).
- [Actualización 03/10/2019] Bosch ha publicado actualizaciones para la mayoría de productos afectados, consultar la sección referencias para obtener más información.
Detalle:
- La vulnerabilidad encontrada en el servicio RDS (Remote Desktop Service) de Microsoft Windows, podría permitir a un atacante remoto no autenticado ejecutar código. El atacante debe disponer de acceso a la red, y el sistema debe tener el servicio RDS expuesto, generalmente por el puerto 3389/TCP. El envió de peticiones RDP especialmente diseñadas, permitiría al atacante explotar esta vulnerabilidad, que entre otras acciones podría instalar programas, crear cuentas o ejecutar código de forma remota. Se ha asignado el identificador CVE-2019-0708 para esta vulnerabilidad.
- [Actualización 16/08/2019] Aunque la función RDP (Remote Desktop Protocol) esté desactivada de forma predeterminada, estas vulnerabilidades podrían permitir a un atacante, la ejecución de código a nivel del sistema, mediante el envío de un paquete RDP de autenticación previa, especialmente diseñado, a un servidor RDS afectado. No se requiere la intervención del usuario, por lo que también podrían ser utilizadas por un posible malware para propagarse automáticamente a otros sistemas. Se han asignado los identificadores CVE-2019-1181 , CVE-2019-1182 , CVE-2019-1222 y CVE-2019-1226 para estas vulnerabilidades.
Referencias: