Kaspersky ICS CERT revela los "secretos" del protocolo Schneider UMAS

Kaspersky ICS CERT ha investigado las vulnerabilidades del famoso protocolo Unified Messaging Application Services (UMAS) de Schneider Electric que se utiliza en múltiples industrias, desde la fabricación hasta los sistemas de control de ascensores. Aprovechando las vulnerabilidades descritas, los atacantes podrían acceder a todo el sistema de automatización de una entidad. 

UMAS (Unified Messaging Application Services) es el protocolo de Schneider Electric que se utiliza para configurar, supervisar, recoger datos y controlar los sistemas industriales de Schneider Electric, muy extendido entre diferentes industrias. Los problemas descritos por los expertos del CERT de Kaspersky ICS se refieren al acceso no autorizado al PLC (controlador lógico programable) y a las formas que adoptan los ciberdelincuentes para saltarse la autenticación.

En 2020, se informó de la vulnerabilidad CVE-2020-28212, que podría explotar un atacante en remoto para obtener el control del PL con los privilegios de un administrador ya autenticado en el panel de control. Para hacer frente a la vulnerabilidad, Schneider Electric desarrolló un nuevo mecanismo, Application Password, que proporcionaba protección contra el acceso no autorizado a los PLC y las modificaciones no deseadas.

Un análisis realizado por los expertos del CERT de Kaspersky ICS ha demostrado que la implementación del nuevo mecanismo de seguridad también tiene fallos. La vulnerabilidad CVE-2021-22779, identificada durante la investigación, permite a un atacante remoto realizar cambios en el PLC, saltándose la autenticación.

Según los analistas, el principal problema era que los datos de autenticación utilizados para "reservar" el dispositivo para su modificación se calculaban íntegramente en el lado del cliente, y el "secreto" utilizado podía obtenerse del PLC sin necesidad de autenticación.

Schneider Electric ha publicado un aviso con una corrección que aborda las vulnerabilidades. A su vez, Kaspersky ICS CERT recomienda utilizar adicionalmente soluciones de monitorización de red y análisis profundo de protocolos industriales como Kaspersky Industrial CyberSecurity for Networks, para monitorizar y controlar los intentos de acceso remoto a los dispositivos PLC.

"El panorama de las amenazas evoluciona constantemente, y la estrategia de seguridad de una organización debe evolucionar al mismo ritmo para hacer frente a los nuevos retos. Hoy en día, la creación de un sistema de ciberseguridad no es un objetivo final, sino un proceso proactivo continuo, como demuestra el ejemplo del protocolo UMAS. Schneider Electric ha conseguido responder rápidamente a las vulnerabilidades descubiertas y ya ha proporcionado a sus clientes la solución y las recomendaciones adecuadas. Sin embargo, nuestro consejo a todos los responsables de la seguridad en una empresa es que apliquen soluciones especiales", comenta Pavel Nesterov, experto en seguridad de ICS CERT Kaspersky.

Más información sobre el protocolo UMAS de Schneider Electric y sus "secretos" en ICS CERT.

Para mantener los equipos ICS protegidos de varias amenazas, los expertos de Kaspersky recomiendan:

• Actualizar regularmente los sistemas operativos y el software de aplicación que forman parte de la red de la empresa. Aplicar correcciones y parches de seguridad a los equipos de red de TI y OT tan pronto como estén disponibles.
• Realizar auditorías de seguridad periódicas de los sistemas de TI y OT para identificar y eliminar posibles vulnerabilidades
• Utilizar el producto de monitorización, análisis y detección del tráfico de red ICS de Kaspersky Industrial CyberSecurity for Networks para una mejor protección contra los ataques que podrían amenazar los procesos tecnológicos y los principales activos de la empresa. El módulo especial Command Control detecta la explotación de vulnerabilidades en el protocolo UMAS, cuando un atacante intenta ejecutar el comando "Reserve controller". Otro módulo de Control de Integridad de la Red registra las conexiones de red no autorizadas. Todos los eventos se combinan en un incidente y se envían al administrador para su posterior investigación.
• Poner en marcha una formación específica para los equipos de seguridad de TI y los ingenieros de OT, para mejorar la respuesta a las técnicas maliciosas nuevas y avanzadas.
• Proporcionar al equipo de seguridad responsable de la protección de los sistemas de control industrial información actualizada sobre las amenazas. Nuestro servicio de informes de inteligencia sobre amenazas a los sistemas de control industrial proporciona información sobre las amenazas actuales y los vectores de ataque, así como sobre los elementos más vulnerables de los sistemas de control industrial y OT y cómo mitigarlos.

Kaspersky

Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es