Inicio / Content / Boletín de INCIBE-CERT del 18-04-2022

Boletín de INCIBE-CERT del 18-04-2022

INCONTROLLER/PIPEDREAM: amenaza APT dirigida a dispositivos SCI/SCADA

Fecha de publicación: 
18/04/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Múltiples dispositivos SCI/SCADA, incluyendo:

Debido a la variedad de sistemas SCI/SCADA afectados, el número de industrias o potenciales afectados es muy amplio, especialmente en el sector energético.

Descripción: 

Diversos organismos (DOE, CISA, NSA, y FBI) han publicado un aviso de seguridad conjunto para alertar de una amenaza APT desarrollada para atacar sistemas de control industrial y automatización (SCI/SCADA). La compañía Dragos, en su investigación sobre esta amenaza, ha utilizado el nombre PIPEDREAM, mientras que en la investigación de Mandiant se la ha denominado INCONTROLLER, desarrollada por el grupo de actividad CHERNOVITE (nombre designado por Dragos).

Este framework malicioso de SCI es modular y no explota vulnerabilidades específicas, sino que utiliza funciones estándar del protocolo CODESYS, MODBUS y OPC UA. Por tanto, las herramientas del framework se comportan como un cliente legítimo o un entorno de desarrollo para programar el controlador. El framework tiene el potencial para la interrupción, el sabotaje y potencialmente la destrucción física de las máquinas y procesos controlados, permitiendo acciones como:

  • acceder a servidores OPC UA,
  • enviar frames MODBUS a dispositivos,
  • realizar un escaneo de la red,
  • conectar a PLC,
  • descargar y subir archivos, aplicaciones, configuraciones, etc.
  • realizar ataques DoS.
Solución: 

Para su mitigación o solución es importante indicar que esta APT no utiliza vulnerabilidades al uso, sino que el framework se aprovecha de funcionalidades nativas de los sistemas SCI/SCADA afectados, y por lo tanto, no existen parches o versiones correctoras que eviten esta amenaza.

Se aconseja aplicar diferentes medidas y recomendaciones detalladas en las investigaciones de Mandiant y Dragos, así como medidas proactivas de carácter general indicadas por CISA o aquellas específicas que consideren los diferentes fabricantes (ABB, CODESYS o Schneider Electric).

Por su parte, Schneider Electric, como medidas específicas para sus productos recomienda a sus usuarios actualizar a las últimas versiones disponibles:

Como medidas de mitigación se recomienda realizar las siguientes acciones:

  • Aislar los sistemas y redes SCI/SCADA de las redes corporativas e Internet utilizando fuertes controles perimetrales y limitar cualquier comunicación que entre o salga de los perímetros SCI/SCADA.
  • Cambiar todas las contraseñas de los dispositivos y sistemas SCI/SCADA según un calendario coherente, especialmente todas las contraseñas por defecto, por contraseñas seguras y únicas para cada dispositivo.
  • Habilitar la autenticación multifactor para todos los accesos remotos a las redes y dispositivos SCI, siempre que sea posible.
  • Disponer de un plan de respuesta a los ciberincidentes centrado en SCI y ponerlo en práctica regularmente con las partes interesadas de TI, ciberseguridad y operaciones.
  • Mantener copias de seguridad offline para una recuperación más rápida en caso de ataque.
  • Aplicar el principio de mínimo privilegio.
  • Limitar las conexiones de red de los sistemas SCI/SCADA únicamente a las workstations de gestión e ingeniería específicamente autorizadas.
  • Asegurarse de que todas las aplicaciones solo se instalan cuando son necesarias para el funcionamiento.
  • Monitorizar el tráfico de red en las comunicaciones este-oeste con tecnologías conscientes del protocolo SCI, así como el de las conexiones salientes del PLC.
  • Restringir el acceso a UDP/1740-1743, TCP/1105 y TCP/11740.
  • Disponer de un inventario de piezas de repuesto.
  • Validar la workstation de ingeniería software.
  • Análisis de telemetría de la red PLC.
  • Deshabilitar el servicio Schneider NetManage.
  • Aislar las plataformas de proceso modular críticas.

Mandiant también proporciona en su investigación algunas reglas de Yara para la detección de esta amenaza.

Detalle: 

INCONTROLLER/PIPEDREAM es un framework modular malicioso de ataque a SCI, que un atacante podría aprovechar para causar interrupción, degradación e incluso destrucción, dependiendo de los objetivos y el entorno. En el contexto de la matriz MITRE ATT&CK para SCI, esta amenaza puede ejecutar el 38% de las técnicas de ataque conocidas para SCI y el 83% de las tácticas.

INCONTROLLER/PIPEDREAM incluye tres herramientas, que podrían permitir al atacante enviar instrucciones a los dispositivos SCI utilizando los protocolos de la red industrial:

  • TAGRUN: escanea servidores OPC para realizar ataques de fuerza bruta;
  • CODECALL: sus módulos escanean y atacan comunicaciones MODBUS, CODESYS y al menos 3 PLC de Schneider Electric;
  • OMSHELL: interactúa y escanea PLC de Omron a través de HTTP, Telnet y el protocolo Omron FINS.

INCONTROLLER/PIPEDREAM logra un impacto de gran alcance a través de cinco componentes, que Dragos ha etiquetado como:

  • EVILSCHOLAR,
  • BADOMEN,
  • DUSTTUNNEL,
  • MOUSEHOLE,
  • LAZYCARGO.

Estos componentes combinados permiten al atacante identificar un entorno industrial, infiltrarse en las workstations de ingeniería, explotar los controladores de procesos, atravesar las zonas de seguridad y procesos, desactivar los controladores y manipular la lógica y la programación ejecutadas. Todas estas capacidades podrían conducir a una pérdida de seguridad, disponibilidad y control de un entorno industrial, aumentando el tiempo de recuperación.

Dragos ha comunicado que no tiene constancia de que INCONTROLLER/PIPEDREAM haya sido empleado de manera activa para explotar vulnerabilidades.

Encuesta valoración

Múltiples vulnerabilidades en DA50N de Red Lion

Fecha de publicación: 
18/04/2022
Importancia: 
5 - Crítica
Recursos afectados: 

DA50Nm todas las versiones.

Descripción: 

Ron Brash, de Dolus Technology Inc., ha reportado estas vulnerabilidades al CISA que podrían permitir a un atacante comprometer o modificar datos o provocar una denegación del servicio.

Solución: 

DA50N es un producto obsoleto y no recibirá ningún tipo de soporte. El fabricante recomienda seguir las siguientes medidas de mitigación o migrar a los productos DA50A o DA70A.

  • No instalar archivos de imagen obtenidos de fuentes distintas al sitio web oficial de Red Lion;
  • al descargar imágenes del sitio web de Red Lion, comprobar la validez del certificado TLS del servidor;
  • si los archivos de paquetes o las imágenes deben almacenarse antes de la instalación, comprobar que se almacenan de forma segura;
  • minimizar el riesgo de instalación no autorizada a través de la tarjeta SD, limitando el acceso físico al dispositivo;
  • asegurarse de que la contraseña de la interfaz de usuario por defecto se cambie por una que cumpla con las prácticas de seguridad estándar;
  • cambiar las contraseñas de las cuentas admin, rlcuser y techsup, evitando los valores por defecto;
  • desactivar el servicio SSH y mantener desactivado el servicio telnet, si no son necesarios;
  • no reutilizar la misma contraseña para proteger varios recursos;
  • limitar el acceso a los archivos de configuración que contienen credenciales valiosas;
  • utilizar credenciales seguras al configurar los servicios opcionales;
  • habilitar sólo el conjunto mínimo de servicios opcionales necesarios para la aplicación.
Detalle: 
  • La contraseña débil de la interfaz de usuario web podría ser explotada a través de HTTP o HTTPS. Una vez obtenido este acceso, un atacante podría cambiar el resto de contraseñas. Podría accederse a la contraseña débil en las cuentas de Linux a través de SSH (activado por defecto) o Telnet. Aunque el servicio SSH no admite el inicio de sesión de root, un atacante que inicie sesión utilizando cualquiera de las otras cuentas de Linux, podría escalar privilegios a la cuenta de root utilizando el comando 'su', si tiene acceso a la contraseña asociada. Se ha asignado el identificador CVE-2022-1039 para esta vulnerabilidad de severidad crítica.
  • Los usuarios autorizados podrían instalar un archivo de paquete especialmente diseñado al actualizar el dispositivo a través de la interfaz de usuario web. El usuario puede utilizar inadvertidamente un archivo de paquete obtenido de una fuente no autorizada o un archivo que haya sido comprometido entre la descarga y la implementación. Se ha asignado el identificador CVE-2022-26516 para esta vulnerabilidad de severidad alta.
  • Este producto se basa en un kernel de Linux v4.9.119, obsoleto y sin mantenimiento, que contiene múltiples vulnerabilidades que podrían afectar a la seguridad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-27179.

Encuesta valoración

Divulgación de información en Delta Electronics DMARS

Fecha de publicación: 
18/04/2022
Importancia: 
3 - Media
Recursos afectados: 

DMARS, versiones anteriores a 2.1.10.24.

Descripción: 

El investigador kimiya, trabajando con ZDI de Trend Micro, ha reportado una vulnerabilidad de severidad media, que podría permitir a un atacante divulgar información no autorizada.

Solución: 

Delta Electronics recomienda a los usuarios que actualicen a la última versión. Los usuarios pueden obtener la actualización poniéndose en contacto con el FAE (Field Application Engineer) de Delta Electronics o el centro de soluciones.

Detalle: 

En cuatro casos DMARS no restringe adecuadamente las referencias de entidades externas XML al procesar archivos de proyecto específicos, lo que podría permitir la divulgación de información no autorizada. Se ha asignado el identificador CVE-2022-1331 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad de limpieza incompleta en Metasys ADS/ADX/OAS de Johnson Controls

Fecha de publicación: 
18/04/2022
Importancia: 
4 - Alta
Recursos afectados: 

Servidores Metasys ADS/ADX/OAS versiones 10 y 11.

Descripción: 

Johnson Controls ha informado de una vulnerabilidad que podría permitir que un atacante remoto use un token de sesión que no se haya borrado al cerrar la sesión.

Solución: 

Actualizar los servidores Metasys ADS/ADX/OAS a las versiones 10.1.5 o 11.0.2 respectivamente.

Detalle: 

La vulnerabilidad encontrada en los servidores Metasys ADS/ADX/OAS se produce en determinadas circunstancias cuando el token de sesión no se borra al cerrar la sesión. Se ha asignado el identificador CVE-2021-36205 a esta vulnerabilidad.

Encuesta valoración