Llegamos a ustedes gracias a:



Alertas de Seguridad

La CISA advierte de ataques contra dispositivos UPS

Conectados a Internet

[31/03/2022] Los hackers han comenzado a atacar dispositivos de alimentación universal conectados a Internet, apuntando a sus interfaces de control a través de múltiples vulnerabilidades de ejecución remota de código y, en algunos casos, nombres de usuario y contraseñas por defecto sin modificar, según un aviso de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) publicado el martes.

Según la CISA, los dispositivos UPS han recibido en los últimos años actualizaciones de IoT, con la idea de que los usuarios puedan controlarlos de forma remota a través de Internet. Sin embargo, al igual que muchos otros dispositivos IoT, algunos UPS presentan graves fallas en sus sistemas de seguridad y autenticación, que los atacantes han aprovechado para obtener acceso ilícito a ellos.

La principal orientación del CISA en el aviso es hacer inmediatamente un inventario de todos los dispositivos UPS en uso en una organización determinada, y desconectarlos completamente de Internet, si es posible. Si deben permanecer conectados a Internet, la agencia instó a que se tomen varias medidas para mitigar los posibles compromisos, incluyendo la colocación de los dispositivos vulnerables detrás de una VPN, la aplicación de la autenticación multifactor, y la auditoría de los nombres de usuario y contraseñas para asegurarse de que no son todavía por defecto de fábrica o de otra manera fácil de adivinar o descifrar.

La empresa de seguridad Armis descubrió por primera vez las vulnerabilidades de UPS a principios de este mes. Según Armis, varias vulnerabilidades de software afectan a dispositivos UPS fabricados por APC, empresa propiedad de Schneider Electric y líder del mercado de UPS. Las principales vulnerabilidades se encontraron en una función de los dispositivos más nuevos de APC llamada SmartConnect, que conecta los dispositivos a la red y permite a los operadores emitir actualizaciones de firmware y supervisarlos y controlarlos a través de un portal web.

Dos de las principales vulnerabilidades tienen que ver con fallas en la implementación de TLS de SmartConnect: la primera es un problema de desbordamiento de memoria en el búfer, y la segunda es un problema en el funcionamiento del apretón de manos TLS de SmartConnect. Una tercera vulnerabilidad se deriva de la falta de verificación de la firma criptográfica en el firmware desplegado en los dispositivos afectados. Según los investigadores, estas tres vulnerabilidades pueden ser explotadas de forma remota para cargar firmware malicioso, sin ninguna interacción del usuario, y los dispositivos UPS comprometidos podrían utilizarse simplemente para cortar la alimentación de cualquier sistema al que estén conectados. Según el equipo de Armis, otros vectores, como las memorias USB o el acceso a la red LAN, también podrían utilizarse para comprometer los sistemas UPS vulnerables.

Hay parches disponibles para algunos dispositivos afectados, pero no para todos. Al igual que CISA, Schneider Electric ha publicado sus propios documentos de asesoramiento, que ofrecen el mismo consejo de desconectar de Internet todos los dispositivos potencialmente afectados hasta que puedan ser parcheados por completo.