Un especialista en ciberseguridad reporta la detección de una docena de vulnerabilidades en myPRO, un producto desarrollado por la firma de automatización industrial mySCADA. Entre las fallas reportadas, destaca un error considerado como crítico.
Al respecto, la Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA) también emitió dos alertas para informar a las organizaciones sobre estas vulnerabilidades. Mientras el primer aviso fue publicado en agosto, la segunda alerta de seguridad llegó este 21 de diciembre.
Acorde a Michael Heinzl, investigador que descubrió estas fallas, myPRO es un sistema de interfaz hombre-máquina (HMI) y control de supervisión y adquisición de datos (SCADA) diseñado para visualizar y controlar procesos industriales. Esta solución puede ejecutarse en sistemas Windows, macOS y Linux.
El reporte agrega que esta es una solución utilizada a gran escala, principalmente en los sectores de energía, alimentación, agricultura, tratamiento de aguas y transporte. Cifras publicadas por la propia compañía señalan que sus principales focos de operación están en Europa.
Un primer conjunto de vulnerabilidades fue abordado en julio con el lanzamiento de myPRO v8.20.0, mientras que el segundo grupo de fallas fue corregido a inicios de noviembre con myPRO v8.22.0.
Mientras que la versión 8.20.0 contiene actualizaciones para cuatro vulnerabilidades severas que pueden explotarse para obtener información confidencial, la versión 8.22.0 corrige ocho fallas, siete de las cuales son consideradas como críticas.
Uno de los errores críticos se puede utilizar para evadir la autenticación y el otro está relacionado con una cuenta backdoor, mientras que el resto de las fallas pueden ser explotadas por actores de amenazas remotos no autenticados.
Heinzl concluyó mencionando que la aplicación afectada se ejecuta al inicio del sistema con privilegios elevados y, de forma predeterminada, escucha en los puertos TCP 80/443 en todas las interfaces de red. Los actores de amenazas remotos no autenticados podrían aprovechar las fallas para tomar el control completo del producto, así como del sistema subyacente.
Heinzl ha identificado otras fallas de seguridad en muchos productos industriales este año, incluidos los de Delta Electronics y Fuji Electric.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.