La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una advertencia sobre dos vulnerabilidades críticas que afectan los switches de agregación ONS-S8 de Optigo Networks, utilizados en infraestructuras críticas en todo el mundo. Estas fallas permiten la omisión de autenticación y la ejecución remota de código (RCE), lo que pone en riesgo a sectores clave como el de manufactura y otras infraestructuras esenciales.
Descripción de las vulnerabilidades
Las fallas identificadas incluyen problemas de autenticación débil, que permiten omitir los requisitos de contraseña, y problemas de validación de entradas de usuario, lo que puede llevar a la ejecución remota de código, cargas arbitrarias de archivos y vulnerabilidades de recorrido de directorios.
Impacto en infraestructuras críticas
Estos dispositivos son utilizados en infraestructuras críticas a nivel global. Dado que las vulnerabilidades pueden explotarse de manera remota con baja complejidad de ataque, el riesgo ha sido clasificado como extremadamente alto. Según la agencia, las vulnerabilidades podrían ser aprovechadas para obtener acceso no autorizado, alterar configuraciones y exfiltrar datos sensibles.
Vulnerabilidades críticas
- CVE-2024-41925: Este problema se clasifica como una vulnerabilidad de inclusión remota de archivos (RFI) en PHP, derivada de la validación incorrecta de rutas de archivos proporcionadas por el usuario. Un atacante podría explotar esta falla para realizar un recorrido de directorios, eludir la autenticación y ejecutar código remoto arbitrario.
- CVE-2024-45367: Esta vulnerabilidad está relacionada con un problema de autenticación débil, donde no se aplica correctamente la verificación de contraseñas en el mecanismo de autenticación. Esto permite a los atacantes obtener acceso no autorizado a la interfaz de administración de los switches, modificar configuraciones, acceder a datos sensibles o pivotar hacia otros puntos de la red.
Ambas vulnerabilidades fueron descubiertas por el equipo Claroty Team82 y han sido clasificadas como críticas, con una puntuación de 9.3 en el sistema CVSS v4. Estas vulnerabilidades afectan a todas las versiones del ONS-S8 Spectra Aggregation Switch hasta la versión 1.3.7.
Medidas de mitigación recomendadas
Hasta el momento, no hay parches disponibles para corregir estas vulnerabilidades, por lo que se recomienda a los usuarios implementar las siguientes medidas de mitigación propuestas por el proveedor canadiense Optigo Networks:
- Aislar el tráfico de gestión de los switches ONS-S8 colocando el tráfico de administración en una VLAN dedicada, separada del tráfico normal de la red.
- Conectar a OneView solo a través de una NIC dedicada en la computadora del sistema de gestión de edificios (BMS), garantizando acceso exclusivo y seguro para la gestión de la red OT.
- Configurar un firewall en el router para limitar el acceso a OneView solo a dispositivos autorizados mediante listas blancas, evitando accesos no autorizados.
- Usar una VPN segura para todas las conexiones a OneView, asegurando comunicaciones encriptadas y protegiendo contra posibles interceptaciones.
Recomendaciones adicionales de CISA
CISA recomienda a las organizaciones que observen actividad sospechosa en estos dispositivos que sigan sus protocolos de brecha de seguridad y notifiquen el incidente a la agencia para que pueda ser rastreado y correlacionado con otros eventos.
Además, se aconseja realizar evaluaciones de riesgos, implementar seguridad en capas (defensa en profundidad) y adherirse a las mejores prácticas de seguridad para sistemas de control industrial (ICS).
