Investigadors de l’empresa de ciberseguretat Tenable han identificat vulnerabilitats en el producte ThinManager ThinServer de Rockwell Automation que podrien ser explotades per atacar sistemes de control industrial (ICS). Les vulnerabilitats, etiquetades com a CVE-2023-2914, CVE-2023-2915 i CVE-2023-2917, són crítiques i d’alta severitat. Aquests defectes provenen d’una validació d’entrada incorrecta, que pot conduir a un desbordament d’enters o a un recorregut de rutes. Preocupantment, els atacants remots poden explotar aquestes vulnerabilitats sense autenticació prèvia enviant missatges de protocol de sincronització especialment dissenyats.
Les conseqüències d’aquesta explotació inclouen causar una condició de denegació de servei (DoS), esborrar fitxers amb privilegis de sistema i carregar fitxers a qualsevol carpeta on resideixi ThinServer.exe. Tenable va informar d’aquestes vulnerabilitats a Rockwell al maig. El 17 d’agost, Rockwell va informar als seus clients sobre les correccions disponibles, coincidint amb la publicació dels detalls tècnics de Tenable. Encara que Tenable ha creat explotacions de prova de concepte, aquestes romanen sense ser revelades al públic.
Tenable va destacar a SecurityWeek que l’únic requisit per a l’explotació és l’accés a la xarxa al servidor vulnerable. Si el servidor està connectat i exposat en línia, l’explotació directa des d’internet és factible, tot i estar en contra de les millors pràctiques de Rockwell. Tenable va advertir: “Una explotació reeixida pot donar als atacants el control total del ThinServer. Les repercussions en el món real depenen de l’entorn, la configuració del servidor i els tipus de contingut als quals accedeix el servidor.”
El producte es fa servir principalment per a interfícies home-màquina (HMIs) que controlen i monitoritzen equipaments industrials. Els atacants podrien accedir potencialment a aquests HMIs o pivotar des del servidor per atacar altres actius de la xarxa. L’Agència de Ciberseguretat i Infraestructura de Seguretat dels EUA (CISA) també ha emès un avís sobre aquestes vulnerabilitats. Revelacions recents indiquen que els actors de la amenaça estan observant vulnerabilitats en els productes de Rockwell Automation, posant l’accent en la necessitat de mesures de seguretat reforçades.
Source: SecurityWeek
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.