Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades de autenticación en PLC ILC de Phoenix Contact

Vulnerabilidades de autenticación en PLC ILC de Phoenix Contact

Fecha de publicación: 
09/11/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • Todos los PLC ILC 1xx.
Descripción: 

Matthias Niedermaier y Michael Kapfer de HSASec Hochschule Augsburg han identificado y reportado varias vulnerabilidades que afectan a la autenticación en los PLC ILC (Inline Controller) de la empresa Phoenix Contact.

Solución: 

Phoenix Contact ha liberado una actualización para el Webvisit para mitigar los problemas de almacenamiento de contraseñas en claro.

Por otro lado, Phoenix Contact recomienda a sus usuarios implementar una estrategia de arquitectura de red de tipo defensa en profundidad para los sistemas de control donde:

  • Los dispositivos no deben estar expuestos a redes públicas sin el uso de VPN para el acceso remoto.
  • Se deben utilizar cortafuegos para la segmentación de la red.
  • Los puertos o canales de comunicación no necesarios deben apagarse. Los usuarios y administradores deben verificar si la aplicación ofrece alguna forma de desactivar los canales de comunicación o configurar contraseñas para prevenir que terceras partes no autorizadas realicen modificaciones en el sistema.
  • El acceso al personal debe estar limitado al mínimo personal posible.
  • Cambiar las contraseñas por defecto cuando se instalan los componentes. Las contraseñas deben cambiarse en intervalos regulares para reducir el riesgo de que sean conocidas o descubiertas. Se debe seguir una política de complejidad de contraseñas.
  • Realizar análisis de amenazas de forma regular.
  • Instalar y mantener software de seguridad para reducir riesgos nuevos o recurrentes.
  • Los usuarios deben utilizar los PLC ILC 1x1 con el firmware 4.42 ya que ofrece comunicaciones HTTPS y utiliza HTML5 para el servidor web del HMI.
  • Phoenix Contact recomienda no utilizar los PLC ILC 1xx en aplicaciones críticas a no se que se utilicen dispositivos de seguridad adicionales.
Detalle: 

Las vulnerabilidades reportadas son:

  • Almacenamiento de información sensible en texto claro: Webvisit ofrece una contraseña para proteger páginas del HMI en el PLC para prevenir que determinadas páginas sean abiertas de forma casual o accidental por el usuario. Esta contraseña puede ser configurada de forma que es guardada y transmitida en texto claro. Se ha reservado el identificador CVE-2016-8366 para esta vulnerabilidad.
  • Evasión de autenticación: El servidor web puede ser accedido sin autenticación incluso si este mecanismo está activado. Se ha reservado el identificador CVE-2016-8371 para esta vulnerabilidad.
  • Acceso a variables privadas críticas con métodos públicos: El servidor web permite acceso de lectura y escritura a variables del PLC sin autenticación. Se ha reservado el identificador CVE-2016-8380 para esta vulnerabilidad.