Vulnerabilidades Críticas En PLC Mitsubishi Permite Ataques Remotos
Se han divulgado múltiples vulnerabilidades de seguridad en los controladores lógicos programables (PLC) de la seguridad de Mitsubishi, los cuales podrían ser explotados por un adversario para adquirir los nombres de usuarios legítimos registrados en el módulo a través de un ataque de fuerza bruta, iniciando inicio de sesión no autorizado al módulo de la CPU, e incluso causar una denegación de servicio (DoS).
Las debilidades de seguridad, divulgadas por y Nozomi Networks, se refieren a la implementación de un mecanismo de autenticación en el Protocolo de Comunicación MELSEC que se usa para comunicar e intercambiar datos con los dispositivos de destino al leer y escribir datos al módulo CPU.
Un resumen rápido de las fallas se enumera a continuación.
- Brute-Force en el nombre de usuario (CVE-2021-20594, CVSS 5.9).
- La implementación para frustrar los ataques de fuerza bruta, no solo bloquea a un posible atacante al usar una sola dirección IP, sino también prohíbe a cualquier usuario de cualquier dirección IP desde el inicio de sesión para un cierto período de tiempo, bloquee efectivamente a los usuarios legítimos (CVE-2021-20598, CVSS 3.7).
- Un secreto derivado de la contraseña se puede abusar para autenticarse en el PLC (CVE-2021-20597, CVSS 7.4).
- Administración de token de sesión, no vinculado a una dirección IP, permite a un adversario reutilizar el mismo token de una IP diferente después de que se haya generado.
Algunas de estas fallas se pueden juntar como parte de una cadena de explotación, lo que permite que un atacante se autentique con el PLC y la manipulación con la lógica de seguridad, bloquee a los usuarios del PLC, y peor, cambie las contraseñas de los usuarios registrados, requiriendo un apagado físico del controlador para evitar cualquier riesgo adicional.
Los investigadores no compartieron datos técnicos específicos de las vulnerabilidades o la PoC que se desarrolló para demostrar los ataques, debido a la posibilidad de que lo hagan podría llevar a un mayor abuso. Si bien se espera que Mitsubishi Electric lance una versión corregida del firmware, por ahora ha publicado una serie de mitigaciones que están dirigidas a proteger los entornos operativos y evitar un posible ataque.
La compañía recomienda una combinación de medidas de mitigación para minimizar el riesgo de explotación potencial, incluido el uso de un firewall para evitar el acceso a través de Internet, un filtro IP para restringir el acceso a cualquier direcciones IP, y cambiando las contraseñas a través de USB.
Fuente: THN
Via: feedproxy.google.com