Las vulnerabilidades de Rockwell ThinManager podrían exponer las HMI industriales a ataques

Las vulnerabilidades de Rockwell Automation ThinManager ThinServer podrían permitir a atacantes remotos tomar el control de servidores y piratear HMI.

Por

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

Las vulnerabilidades descubiertas por los investigadores en el producto ThinManager ThinServer de Rockwell Automation podrían explotarse en ataques dirigidos a sistemas de control industrial (ICS).

Los investigadores de la firma de ciberseguridad Tenable descubrieron una vulnerabilidad crítica y dos de alta gravedad en ThinManager ThinServer, un software de administración de servidores RDP y cliente ligero ofrecido por Rockwell. Las fallas se rastrean como CVE-2023-2914, CVE-2023-2915 y CVE-2023-2917.

Los agujeros de seguridad se han descrito como problemas de validación de entrada inadecuados que pueden provocar un desbordamiento de enteros o un cruce de rutas. Los fallos pueden ser aprovechados por atacantes remotos (sin autenticación previa) enviando mensajes de protocolo de sincronización especialmente diseñados.

La explotación de las vulnerabilidades puede permitir provocar una condición de denegación de servicio (DoS), eliminar archivos arbitrarios con privilegios del sistema y cargar archivos arbitrarios en cualquier carpeta de la unidad donde está instalado ThinServer.exe.

Las vulnerabilidades se informaron al proveedor en mayo y Tenable publicó los detalles técnicos el 17 de agosto, el mismo día que Rockwell Automation informó a los clientes sobre la disponibilidad de parches (aviso para usuarios registrados). Tenable también ha desarrollado exploits de prueba de concepto (PoC), pero no los ha hecho públicos.

Tenable le dijo a SecurityWeek que el único requisito para la explotación es el acceso a la red que aloja el servidor vulnerable. La explotación directamente desde Internet también es posible si el servidor está conectado y expuesto a la web, pero esto va en contra de las mejores prácticas recomendadas por el proveedor.

"Una explotación exitosa puede permitir al atacante un control total del ThinServer", dijo Tenable. "El impacto de este acceso en el mundo real depende del entorno, la configuración del servidor y los tipos de contenido en los que el servidor está configurado y al que pretende acceder".

La compañía señaló que el producto se usa típicamente para interfaces hombre-máquina (HMI) utilizadas para controlar y monitorear equipos industriales.

“Un atacante podría darse acceso a estas HMI. Un atacante también podría salir del servidor para atacar otros activos en la red”, dijo Tenable.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también publicó un aviso esta semana para informar a las organizaciones sobre estas vulnerabilidades.

Las vulnerabilidades de los productos de Rockwell Automation podrían ser atacadas por actores de amenazas en sus operaciones. Recientemente salió a la luz que una APT anónima ha puesto su mirada en dos vulnerabilidades de ControlLogix que podrían explotarse para causar interrupción o destrucción en organizaciones de infraestructura crítica.

Rockwell descubrió lo que describió como una “nueva capacidad de explotación”, pero no había evidencia de explotación en la naturaleza.

Relacionado: Nuevas vulnerabilidades permiten ataques estilo Stuxnet contra PLC de Rockwell

Relacionado: Organizaciones informadas sobre más de una docena de vulnerabilidades en productos de Rockwell Automation

Relacionado: Estados Unidos investiga los riesgos de ciberseguridad de las operaciones de Rockwell Automation en China

Eduard Kovacs (@EduardKovacs) es editor jefe de SecurityWeek. Trabajó como profesor de TI en una escuela secundaria durante dos años antes de comenzar una carrera en periodismo como reportero de noticias de seguridad de Softpedia. Eduard es licenciado en informática industrial y máster en técnicas informáticas aplicadas a la ingeniería eléctrica.

Suscríbase al resumen por correo electrónico de SecurityWeek para mantenerse informado sobre las últimas amenazas, tendencias y tecnologías, junto con columnas interesantes de expertos de la industria.

Únase a los expertos en seguridad mientras analizan el potencial sin explotar de ZTNA para reducir el riesgo cibernético y potenciar el negocio.

Únase a Microsoft y Finite State en un seminario web que presentará una nueva estrategia para proteger la cadena de suministro de software.

Si bien los ataques cuánticos aún están en el futuro, las organizaciones deben pensar en cómo defender los datos en tránsito cuando el cifrado ya no funcione. (Marie Hattar)

Así como un equipo de fútbol profesional necesita coordinación, estrategia y adaptabilidad para asegurar una victoria en el campo, una estrategia integral de ciberseguridad debe abordar desafíos y amenazas específicos. (Matt Wilson)

A medida que las reglas de divulgación de incidentes cibernéticos de la SEC entren en vigencia, las organizaciones se verán obligadas a considerar seriamente brindar a los líderes de seguridad un asiento en la mesa. (Marc Solomon)

El trabajo remoto llegó para quedarse y las empresas deben continuar asegurándose de que sus formas básicas de comunicación estén configuradas y seguras correctamente. (Matt Honea)

La complejidad y el desafío de los entornos de nube distribuida a menudo requieren la gestión de múltiples pilas de infraestructura, tecnología y seguridad, múltiples motores de políticas, múltiples conjuntos de controles y múltiples inventarios de activos. (Joshua Goldfarb)

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

El efecto general de las condiciones geopolíticas globales actuales es que los estados nacionales tienen un mayor incentivo para apuntar a los ICS/OT de industrias críticas, mientras...

El riesgo relacionado con la ciberseguridad es una de las principales preocupaciones, por lo que las juntas directivas deben saber que cuentan con la supervisión adecuada. Incluso siendo principiantes, los CISO exitosos hacen...

Wago ha solucionado vulnerabilidades críticas que pueden permitir a los piratas informáticos tomar el control total de sus controladores lógicos programables (PLC).

Otorio ha lanzado una herramienta gratuita que las organizaciones pueden utilizar para detectar y abordar problemas relacionados con la autenticación DCOM.

La empresa de ciberseguridad Forescout muestra cómo se pueden encadenar varias vulnerabilidades de ICS para un exploit que permita a los piratas informáticos causar daños a un puente.

El proveedor de seguridad de Internet de las cosas (IoT) e IoT industrial Shield-IoT anunció esta semana que ha cerrado una ronda de financiación Serie A de 7,4 millones de dólares,...

En 2022 se descubrieron más de 1300 vulnerabilidades de ICS, incluidas casi 1000 que tienen una clasificación de gravedad alta o crítica.