Miles de dispositivos PLC Modicon de Schneider Electric pueden ser hackeados explotando la vulnerabilidad CVE-2021-22779

Schneider Electric lanzó en los últimos meses parches para su plataforma EcoStruxure y algunos controladores lógicos programables (PLC) Modicon para abordar una vulnerabilidad crítica que se reveló hace más de un año.

La vulnerabilidad en cuestión, rastreada como CVE-2021-22779 , ha sido descrita por el gigante industrial como de omisión de autenticación que podría permitir el acceso no autorizado en modo de lectura y escritura a un controlador Modicon M580 o M340 al falsificar las comunicaciones Modbus entre el controlador y el software de ingeniería.

Schneider Electric ha acreditado a investigadores de varias empresas por informar sobre esta vulnerabilidad, incluidas Fortinet, Tenable, Kaspersky, Armis y Bolean Tech.

Modicon M580

Armis, que denominó la vulnerabilidad ModiPwn, reveló detalles en julio de 2021, cuando advirtió que un atacante no autenticado que tiene acceso a la red del PLC objetivo podría explotar la vulnerabilidad para tomar el control completo del dispositivo objetivo. Un atacante podría alterar el funcionamiento del PLC mientras oculta las modificaciones maliciosas de la estación de trabajo de ingeniería que administra el controlador.

En el momento de la divulgación de Armis, las mitigaciones estaban disponibles, pero Schneider Electric no había lanzado ningún parche. El proveedor comenzó a lanzar parches en marzo de 2022. Inicialmente, se lanzaron correcciones para el software EcoStruxure y, en los meses siguientes, la empresa anunció la disponibilidad de parches de firmware para los PLC. La ronda final de parches se lanzó en agosto.

Ahora que la vulnerabilidad parece haberse solucionado, el equipo ICS-CERT de Kaspersky ha publicado su propio informe sobre CVE-2021-22779 y el protocolo UMAS (Servicios de aplicaciones de mensajería unificada) abusado en este ataque.

UMAS es un protocolo propietario de Schneider que se utiliza para configurar y monitorear los PLC de la empresa.

Según Kaspersky, la historia de CVE-2021-22779 se remonta a 2020, cuando los investigadores descubrieron CVE-2020-28212. Este agujero de seguridad permite que un atacante remoto obtenga el control de un PLC con los privilegios de un operador ya autenticado mediante un ataque de fuerza bruta.

Para evitar tales ataques, Schneider Electric implementó una nueva característica en su producto EcoStruxure, llamada Application Password. Esta función debería evitar los ataques de fuerza bruta que podrían obtener la información necesaria para eludir la autenticación y secuestrar el PLC objetivo.

Sin embargo, CVE-2021-22779 permite a un atacante eludir la autenticación incluso si la contraseña de la aplicación está configurada y realizar cambios no autorizados en el PLC.

“Se estableció que el protocolo UMAS, en su implementación anterior a la versión en la que se solucionó la vulnerabilidad CVE-2021-22779, presentaba importantes falencias que afectaban de manera crítica la seguridad de los sistemas de control basados ​​en controladores SE”, explicó Kaspersky. .

La firma de ciberseguridad señaló que una búsqueda de Shodan muestra aproximadamente 1000 dispositivos Modicon M340/M580 expuestos a Internet, y cree que esto es solo la punta del iceberg.

Fuente: https://www.securityweek.com/details-disclosed-after-schneider-electric-patches-critical-flaw-allowing-plc-hacking