Investigadores advierten sobre fallas críticas que afectan a los sistemas de automatización industrial

Una vulnerabilidad crítica descubierta en la pila 499ES EtherNet / IP (ENIP) de Real-Time Automation (RTA) podría abrir los sistemas de control industrial a ataques remotos de adversarios.

La pila ENIP de RTA es uno de los dispositivos de automatización industrial ampliamente utilizados y se factura como el «estándar para aplicaciones de E / S de fábrica en América del Norte».

Hasta el momento, no se han encontrado exploits públicos conocidos para atacar esta vulnerabilidad. Sin embargo, «según los motores de búsqueda públicos de dispositivos conectados a Internet (por ejemplo, shodan.io), hay más de 8.000 dispositivos conectados a Internet compatibles con ENIP».

Rastreada como CVE-2020-25159 , la falla tiene una severidad de 9.8 sobre 10 según el estándar de la industria Common Vulnerability Scoring System (CVSS) e impacta todas las versiones de EtherNet / IP Adapter Source Code Stack antes de 2.28, que fue lanzado 21 de noviembre de 2012.

La falla en sí misma se refiere a una verificación incorrecta en el mecanismo de análisis de ruta empleado en el Protocolo industrial común (CIP), un protocolo de comunicación utilizado para organizar y compartir datos en dispositivos industriales, que permite a un atacante abrir una solicitud CIP con un tamaño de ruta de conexión grande ( mayor que 32) y hacen que el analizador escriba en una dirección de memoria fuera del búfer de longitud fija, lo que conduce a la posible ejecución de código arbitrario.

Los investigadores de Claroty escanearon 290 módulos diferentes compatibles con ENIP, de los cuales se encontró que 11 dispositivos de seis proveedores diferentes usaban la pila ENIP de RTA. Actualmente hay más de 8.000 dispositivos compatibles con ENIP conectados a Internet, según una búsqueda en Shodan.

Se recomienda que los operadores se actualicen a las versiones actuales de la pila ENIP para mitigar la falla. CISA también recomendó a los usuarios que minimicen la exposición de la red para todos los dispositivos del sistema de control y se aseguren de que no sean accesibles desde Internet.