Fallas críticas en los productos Kepware pueden facilitar ataques a empresas industriales

Los investigadores han encontrado varias vulnerabilidades críticas en productos de Kepware, proveedor de soluciones de automatización industrial propiedad de PTC.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) publicó dos avisos que describen las vulnerabilidades identificadas en los productos Kepware.

Uno de los avisos cubre tres fallas descubiertas por investigadores de la firma de ciberseguridad industrial Claroty. Los agujeros de seguridad, dos clasificados como críticos y uno de alta gravedad, se describen como un desbordamiento del búfer basado en la pila, un desbordamiento del búfer basado en el montón y un error de uso después de la liberación.

Las vulnerabilidades críticas pueden explotarse para bloquear el servidor, filtrar datos y ejecutar de forma remota código arbitrario abriendo un mensaje OPC UA especialmente diseñado. El error de alta gravedad puede permitir que un atacante bloquee el servidor al crear y cerrar conexiones OPC UA a un ritmo elevado, dijo CISA en su aviso.

“Las vulnerabilidades se ubicaron en los productos OPC KEPServerEX, ThingWorx y OPC-Aggregator”, dijo a SecurityWeek Uri Katz, investigador principal de Claroty . “Para aprovechar estas vulnerabilidades, los atacantes deberían tener acceso a la red del servidor OPC. Los servidores OPC son una parte central en muchas redes OT, lo que los convierte en un objetivo lucrativo para los atacantes «.

Katz agregó: “En nuestra investigación pudimos demostrar que estas vulnerabilidades se pueden explotar de forma remota sin necesidad de autenticación y que la explotación exitosa de estas vulnerabilidades podría provocar una falla del servidor, una condición de denegación de servicio, fuga de datos o ejecución de código «.

CISA señaló que los productos de Rockwell Automation, GE Digital y Software Toolbox también utilizan un componente vulnerable y recomendó a los clientes de estas empresas que verifiquen si sus productos están afectados y que apliquen los parches disponibles. Los avisos publicados por Rockwell , GE y Software Toolbox solo mencionan las fallas (DoS) y las fugas de datos en términos de impacto. Sin embargo, los ataques DoS pueden tener graves consecuencias en el caso de los sistemas de control industrial (ICS).

El segundo aviso publicado la semana pasada por CISA describe una vulnerabilidad crítica encontrada por un investigador de Cisco Talos en Kepware LinkMaster, que está diseñado para intercambiar datos entre servidores OPC DA.

La vulnerabilidad se encontró en la configuración predeterminada del producto y permite que un atacante local ejecute código arbitrario con privilegios del SISTEMA. Talos publicó un aviso por esta falla el 16 de diciembre, un día antes de que CISA publicara sus avisos.

Imagen vía Talos

“Las vulnerabilidades se plantearon y abordaron a través del programa de divulgación coordinada de vulnerabilidades (CVD) de PTC, una pieza importante de nuestra estrategia de seguridad de productos. Apreciamos nuestra asociación con firmas de investigación de seguridad como Claroty y Cisco Talos y su voluntad de trabajar con PTC a través del programa CVD. Trabajar con CISA proporciona un vehículo para la divulgación de vulnerabilidades de manera responsable ”, dijo PTC en un comunicado enviado por correo electrónico.