Investigadores de la firma de ciberseguridad Tenable han identificado vulnerabilidades en el producto ThinManager ThinServer de Rockwell Automation que podrían ser explotadas para dirigirse a sistemas de control industrial (ICS). Las vulnerabilidades, etiquetadas como CVE-2023-2914, CVE-2023-2915 y CVE-2023-2917, son críticas y de alta gravedad. Estos fallos provienen de una validación de entrada incorrecta, que lleva a un posible desbordamiento de enteros o recorrido de rutas. Preocupantemente, los atacantes remotos pueden explotar estas vulnerabilidades sin autenticación previa enviando mensajes de protocolo de sincronización especialmente diseñados.
Las consecuencias de dicha explotación incluyen causar una condición de negación de servicio (DoS), eliminar archivos con privilegios de sistema y cargar archivos en cualquier carpeta donde resida ThinServer.exe. Tenable informó de estas vulnerabilidades a Rockwell en mayo. El 17 de agosto, Rockwell informó a sus clientes sobre las parches disponibles, coincidiendo con el lanzamiento de detalles técnicos de Tenable. Aunque Tenable ha creado exploits de prueba de concepto, estos permanecen sin revelar al público.
Tenable destacó a SecurityWeek que el único requisito para la explotación es el acceso a la red al servidor vulnerable. Si el servidor está conectado y expuesto en línea, la explotación directa desde internet es factible, aunque en contra de las mejores prácticas de Rockwell. Tenable advirtió: “Una explotación exitosa puede otorgar a los atacantes el control total del ThinServer. Las ramificaciones en el mundo real dependen del entorno, la configuración del servidor y los tipos de contenido a los que accede el servidor.”
El producto se utiliza principalmente para interfaces hombre-máquina (HMIs) que controlan y monitorean equipos industriales. Los atacantes podrían acceder potencialmente a estos HMIs o pivotar desde el servidor para dirigirse a otros activos de la red. La Agencia de Ciberseguridad e Infraestructura de Seguridad de EE. UU. (CISA) también ha emitido un aviso sobre estas vulnerabilidades. Revelaciones recientes indican que los actores de amenazas están observando vulnerabilidades en los productos de Rockwell Automation, enfatizando la necesidad de medidas de seguridad reforzadas.
Source: SecurityWeek
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.