El 17 de mayo de 2023, Rockwell Automation publicó un aviso de seguridad para advertir a los clientes sobre un nuevo exploit de vulnerabilidad de ejecución remota de código (RCE) que está dirigido a la infraestructura crítica. El exploit aprovecha una vulnerabilidad en el software RSLinx Enterprise, que se utiliza para controlar dispositivos de automatización industrial.
El exploit fue descubierto por investigadores de seguridad de la empresa de ciberseguridad Symantec. Los investigadores denominaron al exploit “SCADAworm” y lo clasificaron como una amenaza avanzada persistente (APT).
Detalles del exploit
El exploit explota una vulnerabilidad en el software RSLinx Enterprise que permite a un atacante ejecutar código arbitrario en un sistema vulnerable. El código arbitrario puede ser utilizado para robar datos, instalar malware o tomar el control del sistema.
El exploit se distribuye a través de un correo electrónico malicioso que contiene un archivo adjunto infectado. Si el usuario abre el archivo adjunto, el exploit se ejecutará y comprometerá el sistema.
CVE-2023-3595 es una vulnerabilidad de ejecución remota de código (RCE) en el software Rockwell Automation Allen-Bradley ControlLogix Communication Modules para las familias de productos 1756 EN2* y 1756 EN3*. Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en un sistema vulnerable enviando un mensaje CIP especialmente diseñado.
El mensaje CIP malicioso puede ser enviado al sistema vulnerable a través de una red IP o una red CAN. Una vez que el mensaje se ha enviado, el código arbitrario se ejecutará en el sistema vulnerable. El código arbitrario puede ser utilizado para robar datos, instalar malware o tomar el control del sistema.
Esta vulnerabilidad se ha asignado la puntuación de severidad CVSS de 9.8. Esto significa que esta vulnerabilidad es crítica y puede ser explotada fácilmente por un atacante.
Rockwell Automation ha publicado un parche para esta vulnerabilidad. Los clientes deben instalar el parche lo antes posible para proteger sus sistemas. Además de instalar el parche, los clientes también deben tomar las siguientes medidas para protegerse contra esta vulnerabilidad:
- Utilizar un firewall para bloquear el tráfico malicioso.
- Utilizar un antivirus para detectar y eliminar el malware.
- Mantener el software actualizado con las últimas correcciones de seguridad.
- Capacitar a los empleados sobre las mejores prácticas de seguridad.
Esta vulnerabilidad es una amenaza seria para las organizaciones que utilizan Rockwell Automation Allen-Bradley ControlLogix Communication Modules. Las organizaciones deben tomar las medidas necesarias para protegerse contra esta vulnerabilidad.
Para mitigar la vulnerabilidad CVE-2023-3595, las organizaciones deben:
- Instalar el parche publicado por Rockwell Automation.
- Utilizar un firewall para bloquear el tráfico malicioso.
- Utilizar un antivirus para detectar y eliminar el malware.
- Mantener el software actualizado con las últimas correcciones de seguridad.
- Capacitar a los empleados sobre las mejores prácticas de seguridad.
Además de estas recomendaciones, las organizaciones también deben considerar las siguientes medidas:
- Separar las redes de producción de las redes de gestión.
- Utilizar firewalls para segmentar las redes.
- Utilizar firewalls para bloquear el tráfico no autorizado.
- Utilizar un sistema de gestión de identidad y acceso (IAM) para controlar el acceso a los sistemas.
- Utilizar un sistema de gestión de vulnerabilidades (VMS) para identificar y mitigar las vulnerabilidades.
- Realizar pruebas de penetración con regularidad.
Al tomar estas medidas, las organizaciones pueden ayudar a proteger sus sistemas contra la vulnerabilidad CVE-2023-3595 y otras amenazas.
Objetivo del exploit
El exploit está dirigido a la infraestructura crítica, que incluye sistemas que controlan redes eléctricas, plantas de agua y otros sistemas críticos. Un ataque exitoso podría causar interrupciones generalizadas en el servicio y podría tener un impacto significativo en la economía.
Recomendaciones
Rockwell Automation ha publicado un parche para la vulnerabilidad que se explota en el exploit. Los clientes deben instalar el parche lo antes posible para proteger sus sistemas.
Además de instalar el parche, los clientes también deben tomar las siguientes medidas para protegerse contra el exploit:
- Utilizar un firewall para bloquear el correo electrónico malicioso.
- Utilizar un antivirus para detectar y eliminar el malware.
- Mantener el software actualizado con las últimas correcciones de seguridad.
- Capacitar a los empleados sobre las mejores prácticas de seguridad.
El exploit de vulnerabilidad de ejecución remota de código (RCE) que se dirige a la infraestructura crítica es una amenaza seria. Los clientes deben tomar las medidas necesarias para protegerse contra el exploit.
