Un nuevo compromiso generalizado de IoT podría afectar a millones de chips de controladores lógicos
ACTUALIZADO A LAS 12:05 EDT / 15 DE AGOSTO DE 2023
por David Strom
El investigador de seguridad de Microsoft, Vladimir Tokarev, demostró un interesante ataque al software de automatización del Internet industrial de las cosas llamado Codesys.
Tokarev, que mostró el exploit la semana pasada en la conferencia anual de seguridad BlackHat en Las Vegas, utilizó un modelo de ascensor en miniatura para demostrar cómo el ataque podía estrellar su cabina. El software (y, lo que es más importante, su kit de desarrollo de software) se utiliza ampliamente en millones de controladores lógicos programables o chips PLC que ejecutan todo, desde semáforos y plantas de tratamiento de agua hasta automatización de operaciones de edificios comerciales y tuberías de energía.
En septiembre pasado, Tokarev encontró 16 vulnerabilidades que colectivamente llama CoDe16. Estos emplean tanto la ejecución remota de código como técnicas de denegación de servicio para tomar el control de los PLC y permitir a los atacantes insertar malware.
"Dado que muchos proveedores utilizan Codesys, una vulnerabilidad puede afectar a muchos sectores, tipos de dispositivos y verticales, y mucho menos a múltiples vulnerabilidades", dijo en una publicación de blog que describe la investigación. Microsoft Corp. estima que el software se utiliza en 1.000 tipos diferentes de dispositivos fabricados por más de 500 fabricantes.
Esta no es la primera vulnerabilidad de Codesys. En noviembre pasado, los investigadores de Forescout encontraron otro problema con el software que afecta sus procesos lógicos.
Tokarev publicó su análisis y código en GitHub para que otros los examinen, junto con una herramienta que las empresas pueden utilizar para identificar componentes en riesgo. El marco Codesys utiliza sus propios protocolos de red y números de puerto TCP/IP especiales a los que tuvo que aplicar ingeniería inversa para comprender su funcionamiento y descubrir estas vulnerabilidades.
Muchos de los ataques utilizaron condiciones de desbordamiento del buffer. Tokarev montó una variedad de equipos en su trabajo y mostró esta foto a los asistentes a la conferencia:
Codesys viene con un software de gestión basado en Windows y un simulador que se utiliza con fines de prueba. "Debido a su popularidad y a su amplio uso en todo el mundo, es un vector de ataque crítico muy interesante que debe protegerse y mitigarse", dijo en la sesión de la conferencia.
Las versiones de Codesys anteriores a c.3.5.19.0 son vulnerables a las vulnerabilidades descubiertas y los usuarios deben actualizar su firmware mediante este enlace. Microsoft tiene otras recomendaciones, incluida la segmentación de la red para aislar los PLC del acceso directo en línea, así como técnicas de administración de privilegios mínimos para restringir a los usuarios que tienen acceso a los dispositivos y tienen la capacidad de publicar cambios en los componentes.
GRACIAS
Un nuevo compromiso generalizado de IoT podría afectar a millones de chips de controladores lógicos
MongoDB presenta tecnología de cifrado de datos para que los desarrolladores impulsen la privacidad y el cumplimiento de los datos
Nuevos informes muestran que el phishing va en aumento y se vuelve más sofisticado
Nutanix ofrece un enfoque de inicio rápido para el desarrollo de IA
Dialpad integra IA generativa en su suite de call center
La startup de observabilidad full-stack Highlight se lanza con una financiación de 8 millones de dólares
Un nuevo compromiso generalizado de IoT podría afectar a millones de chips de controladores lógicos
SEGURIDAD - POR DAVID STROM . HACE 1 MIN
MongoDB presenta tecnología de cifrado de datos para que los desarrolladores impulsen la privacidad y el cumplimiento de los datos
GRANDES DATOS - POR JOHN FURRIER. HACE 34 MINUTOS
Nuevos informes muestran que el phishing va en aumento y se vuelve más sofisticado
SEGURIDAD - POR DAVID STROM . HACE 3 HORAS
Nutanix ofrece un enfoque de inicio rápido para el desarrollo de IA
AI - POR PAUL GILLIN . HACE 3 HORAS
Dialpad integra IA generativa en su suite de call center
AI - POR PAUL GILLIN . HACE 3 HORAS
La startup de observabilidad full-stack Highlight se lanza con una financiación de 8 millones de dólares
APLICACIONES - POR MIKE WHEATLEY. HACE 3 HORAS
“TheCUBE es un socio importante para la industria. Ustedes realmente son parte de nuestros eventos y realmente apreciamos que vengan y sé que la gente también aprecia el contenido que crean” – Andy JassyGRACIAS