Llegamos a ustedes gracias a:



Alertas de Seguridad

McAfee alerta sobre vulnerabilidad

En sistemas de gestión de edificios

[14/08/2019] Investigadores de seguridad han encontrado una vulnerabilidad crítica que se puede explotar a distancia en sistemas de gestión de edificios utilizados por empresas, hospitales, fábricas y otras organizaciones para controlar cosas como la ventilación, la temperatura, la humedad, la presión del aire, la iluminación, las puertas de seguridad y mucho más. El proveedor ha lanzado una actualización del firmware, pero cientos de estos sistemas todavía están expuestos en Internet, lo que pone de manifiesto los riesgos de la gestión remota para los dispositivos ICS.

La vulnerabilidad, conocida como CVE-2019-9569, fue descubierta por investigadores de la empresa de seguridad McAfee, y afecta al enteliBUS Manager (eBMGR), un sistema de control que puede utilizarse para gestionar diferentes interruptores de E/S conectados a sensores, alarmas, motores, cerraduras, válvulas y otros equipos industriales. El sistema también puede servir como enrutador para enlazar múltiples segmentos de la Red de Control de Automatización de Edificios (BACnet).

El eBMGR está hecho por una compañía llamada Delta Controls con sede en British Columbia, Canadá, pero que tiene oficinas y vende sus productos en todo el mundo. El problema descubierto es una vulnerabilidad de desbordamiento de búfer ubicada en la pila de BACnet, que resulta en la ejecución remota del código cuando se explota con éxito. Los atacantes pueden activarlo enviando paquetes maliciosamente creados a los dispositivos vulnerables, lo que no requiere autenticación ni interacción del usuario.

Para demostrar el ataque, los investigadores de McAfee crearon una vulnerabilidad que despliega un programa de malware en el dispositivo, que ofrece a los atacantes capacidades de control remoto sobre el dispositivo. Aunque no planean liberar código de explotación en este momento, los investigadores presentaron sus hallazgos en la conferencia de seguridad de DEF CON en Las Vegas.

"Considere por un momento una sala de presión positiva en un hospital, del tipo que se usa típicamente para mantener fuera a los contaminantes durante las cirugías", señaló Mark Bereza, investigador de seguridad de McAfee, en una entrada del blog. "La gestión de salas como ésta es una aplicación típica del eBMGR, y no se necesita una imaginación hiperactiva para imaginar qué tipo de daño podría causar un mal actor si interrumpiera un entorno tan sensible".

Steve Povolny, director de Investigación Avanzada de Amenazas de McAfee, indicó que, dado que BACnet es un protocolo basado en UDP, la vulnerabilidad puede explotarse fácilmente mediante la transmisión de mensajes a toda la red. También agregó que los dispositivos pueden ser atacados a través de Internet, y que no es inusual que tales sistemas de control sean expuestos para la administración remota.

Dispositivos vulnerables encontrados en todo el mundo

Entre febrero y abril, McAfee encontró casi 600 controladores eBMGR ejecutando versiones de firmware vulnerables (571848 y anteriores) en Internet. Sin embargo, otros dispositivos de control de la Delta expuestos públicamente comparten el mismo firmware que el eBMGR, y es probable que también sean vulnerables. McAfee estimó el número total de objetivos en unos 1.600, pero existen muchos más dentro de las redes empresariales, y pueden ser atacados si no se aíslan adecuadamente de los otros sistemas.

La mayoría de los controladores conectados a Internet se encuentran en América del Norte, con un 53% en los EE.UU. y un 35% en Canadá. Sin embargo, también se observaron dispositivos vulnerables en el Reino Unido, Irlanda, Italia, Alemania, Nueva Zelanda, Singapur, Japón, Australia y otros países.

Un análisis de sus direcciones IP reveló que casi un tercio de ellas son operadas por organizaciones del sector de la educación, seguidas de las telecomunicaciones, los bienes raíces, la medicina, la alimentación, el gobierno, la hostelería y la banca.

"Consideremos algunas de las industrias que encontramos que podrían verse afectadas", dijeron los investigadores de McAfee. "Industrias como hospitales, gobierno y telecomunicaciones pueden tener graves consecuencias cuando estos sistemas funcionan mal".

Mientras que dentro de un hospital un posible ataque puede afectar a la vida humana, en un centro de datos los atacantes podrían desactivar los controles de temperatura y la alarma y dejar que los servidores se estrellen y sufran daños físicos, lo que podría llevar a un tiempo de inactividad significativo y a la pérdida de datos.

Delta Controls responde con eficacia

McAfee elogió a Delta por su respuesta a este problema y su compromiso con el proceso de coordinación y reparación de vulnerabilidades. Mientras que la compañía observó que nuevos controladores eBMGR se conectaron a Internet durante el período de monitoreo, también observó que muchos más se desconectaron.

"Animamos a los grupos de investigación a revelar responsablemente las vulnerabilidades a nuestro equipo", indicó Delta Controls en una declaración en su sitio web. "Asimismo, Delta Controls se compromete a comunicar regularmente información de ciberseguridad a nuestros clientes y a nuestra industria".

El enfoque de gran parte de la investigación de seguridad de ICS se centra en PLCs y sistemas SCADA utilizados en plantas de fabricación, servicios públicos, refinerías de gas y petróleo, y otros entornos de infraestructura crítica. Sin embargo, los ataques contra sistemas de automatización de edificios como eBMGR también podrían tener un impacto en la vida humana, y es más probable que estos dispositivos queden expuestos en Internet con fines de gestión remota.

"Un principio de política de mínimos privilegios puede ser apropiado, y el aislamiento de una red o un segmento de red protegido puede ayudar a proporcionar límites de acceso a los adversarios", indicó Douglass McKee, investigador senior de seguridad del equipo de investigación avanzada de amenazas de McAfee. "El conocimiento de la investigación sobre seguridad y una estrategia de parches adecuada pueden minimizar el tiempo de exposición de las vulnerabilidades conocidas. Recomendamos una revisión y validación minuciosa de cada uno de estos importantes inquilinos de seguridad para poner estos activos críticos bajo el mismo escrutinio que otra infraestructura".