Dos vulnerabilidades, ambas catalogadas con la máxima puntuación de severidad (CVSS 10.0), fueron descubiertas en los controladores remotos (RTU) de Red Lion Controls, ampliamente utilizados en sistemas industriales de energía, transporte, agua y manufactura. Estas fallas, CVE-2023-40151 y CVE-2023-42770, permiten a un atacante remoto obtener control total del dispositivo con privilegios de administrador, sin necesidad de autenticación previa.
La Combinación Crítica: De Bypass a RCE
El ataque explota un fallo en el diseño de los protocolos internos de los RTU, lo que lo convierte en una amenaza crítica para la infraestructura industrial.
- Bypass de Autenticación (CVE-2023-42770): El dispositivo acepta conexiones TCP en el puerto 1594/TCP sin validar credenciales, a diferencia de las conexiones UDP. Este fallo en la lógica de seguridad permite al atacante saltarse los controles de acceso.
- Inyección de Comandos (CVE-2023-40151): Este fallo permite la inyección de comandos en el protocolo Sixnet Universal Driver (UDR). Este protocolo interno, que normalmente está restringido, puede ser manipulado con un paquete modificado para obtener acceso directo al shell del sistema operativo del RTU.
- Resultado Final: Al encadenar ambos fallos, el atacante explota primero el bypass de autenticación y luego ejecuta comandos privilegiados, logrando el control total del dispositivo.
Riesgo y Modelos Industriales Afectados
La explotación de esta vulnerabilidad puede llevar a la manipulación de procesos industriales (presión, temperatura) o sabotaje físico con consecuencias económicas y ambientales significativas.
- Modelos Afectados: Las líneas de productos ST-IPm-8460 (firmware 6.0.202 o anterior), ST-IPm-6350 (firmware 4.9.114 o anterior), VT-IPm-2630 y VT-IPm-4730, así como otros modelos compatibles con el protocolo UDR.
- Dato Crítico: Muchos entornos industriales no actualizan el firmware durante años por temor a detener la producción o perder certificaciones. Esto significa que gran parte de los sistemas afectados seguirán siendo vulnerables incluso después de que Red Lion publique un parche.
Recomendaciones
- Actualización Inmediata del Firmware: Descargue los parches oficiales de Red Lion (la versión 3.1.0.41 o posterior es la meta para las ramas afectadas). Valide y aplique las actualizaciones en entornos controlados.
- Segmentación de Red (Crítico): Aísle los RTU en redes OT (Operational Technology) separadas de la red corporativa (IT). Utilice firewalls industriales o gateways seguros para controlar el tráfico entre segmentos.
- Control de Acceso al Puerto: Limite estrictamente el acceso al puerto 1594/TCP únicamente a hosts y sistemas de control autorizados dentro de la red OT.
- Autenticación Fuerte: Habilite la autenticación fuerte en la interfaz de administración de los RTU y elimine todas las cuentas predeterminadas o sin uso.
- Monitoreo: Implemente monitoreo de red para detectar paquetes sospechosos hacia el puerto 1594/TCP y configure alertas ante comandos o solicitudes anómalas en el tráfico del protocolo UDR.
