Kaspersky ICS CERT ha investigado las vulnerabilidades del famoso protocolo Unified Messaging Application Services (UMAS) de Schneider Electric que se utiliza en múltiples industrias, desde la fabricación hasta los sistemas de control de ascensores. Aprovechando las vulnerabilidades descritas, los atacantes podrían acceder a todo el sistema de automatización de una entidad.
UMAS (Unified Messaging Application Services) es el protocolo de Schneider Electric que se utiliza para configurar, supervisar, recoger datos y controlar los sistemas industriales de Schneider Electric, muy extendido entre diferentes industrias. Los problemas descritos por los expertos del CERT de Kaspersky ICS se refieren al acceso no autorizado al PLC (controlador lógico programable) y a las formas que adoptan los ciberdelincuentes para saltarse la autenticación.
En 2020, se informó de la vulnerabilidad CVE-2020-28212, que podría explotar un atacante en remoto para obtener el control del PL con los privilegios de un administrador ya autenticado en el panel de control. Para hacer frente a la vulnerabilidad, Schneider Electric desarrolló un nuevo mecanismo, Application Password, que proporcionaba protección contra el acceso no autorizado a los PLC y las modificaciones no deseadas.
Un análisis realizado por los expertos del CERT de Kaspersky ICS ha demostrado que la implementación del nuevo mecanismo de seguridad también tiene fallos. La vulnerabilidad CVE-2021-22779, identificada durante la investigación, permite a un atacante remoto realizar cambios en el PLC, saltándose la autenticación.
Según los analistas, el principal problema era que los datos de autenticación utilizados para "reservar" el dispositivo para su modificación se calculaban íntegramente en el lado del cliente, y el "secreto" utilizado podía obtenerse del PLC sin necesidad de autenticación.
Schneider Electric ha publicado un aviso con una corrección que aborda las vulnerabilidades. A su vez, Kaspersky ICS CERT recomienda utilizar adicionalmente soluciones de monitorización de red y análisis profundo de protocolos industriales como Kaspersky Industrial CyberSecurity for Networks, para monitorizar y controlar los intentos de acceso remoto a los dispositivos PLC.
"El panorama de las amenazas evoluciona constantemente, y la estrategia de seguridad de una organización debe evolucionar al mismo ritmo para hacer frente a los nuevos retos. Hoy en día, la creación de un sistema de ciberseguridad no es un objetivo final, sino un proceso proactivo continuo, como demuestra el ejemplo del protocolo UMAS. Schneider Electric ha conseguido responder rápidamente a las vulnerabilidades descubiertas y ya ha proporcionado a sus clientes la solución y las recomendaciones adecuadas. Sin embargo, nuestro consejo a todos los responsables de la seguridad en una empresa es que apliquen soluciones especiales", comenta Pavel Nesterov, experto en seguridad de ICS CERT Kaspersky.
Más información sobre el protocolo UMAS de Schneider Electric y sus "secretos" en ICS CERT.
Para mantener los equipos ICS protegidos de varias amenazas, los expertos de Kaspersky recomiendan:
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es