Encuentran backdoor en PLCs de Siemens. Infraestructura crítica y redes SCADA afectadas

Un equipo de especialistas en seguridad de aplicaciones web de la Universidad Ruhr en Bochum, Alemania, ha descubierto una vulnerabilidad en algunos modelos nuevos de controladores lógicos programables (PLC) fabricados por Siemens. Según los expertos, la falla está relacionada con la presencia de una función de acceso oculto y podría explotarse tanto para realizar ataques cibernéticos como herramienta de seguridad.

El problema de seguridad está relacionado con la función de acceso de hardware del PLC Siemens S7-1200 (esta función procesa las actualizaciones de software y verifica la integridad del firmware del PLC al iniciar el dispositivo). Al parecer, este acceso muestra comportamiento similar al de un backdoor.

Acorde a los expertos en seguridad de aplicaciones web, un actor de amenazas puede abusar de esta función para omitir el paso de verificación de integridad del firmware durante alrededor de medio segundo, ventana de tiempo en la que el atacante podría descargar código malicioso y posteriormente obtener control total sobre los procesos del dispositivo.

En su reporte, los expertos dicen ignorar por qué Siemens habrá instalado tal acceso en estos dispositivos: “Esta es a todas luces una mala práctica de seguridad; el acceso brinda a cualquiera con los conocimientos suficientes acceso al contenido de la memoria, además de la capacidad de sobrescribir datos y extraer información”, mencionan los expertos.

Durante la investigación, los expertos descubrieron que este acceso oculto también puede ser útil para los investigadores de seguridad, pues brinda un forense de la memoria del dispositivo. “Logramos usar esta función para acceder al contenido de la memoria del PLC, lo que podría ayudar en investigación forense digital para detectar código malicioso. Aunque la compañía no permite acceder al contenido de la memoria en condiciones normales, esto es factible usando este acceso”, concluyen los expertos. Los hallazgos serán presentados de forma oficial durante un evento de ciberseguridad a celebrarse el próximo mes en Londres.

Por otra parte, Siemens recibió en tiempo y forma el reporte sobre esta falla de seguridad y ya ha anunciado el lanzamiento de una solución lo más pronto posible. “Estamos al tanto de la investigación de los expertos de la Universidad de Ruhr, referente al acceso especial basado en hardware en las CPU SIMATIC S7-1200; nuestros equipos de seguridad de aplicaciones web están trabajando para resolver el inconveniente a la brevedad. Recomendamos a nuestros usuarios permanecer alertas ante cualquier actualización oficial”, menciona el comunicado de la compañía.

Aún se desconoce si Siemens implementará sólo una actualización de software o si será necesario implementar nuevos componentes de hardware para corregir esta vulnerabilidad. Especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que un reemplazo de hardware sería una solución definitiva, pero es muy complicado de realizar para todos los dispositivos afectados (algo similar ocurre con la consola Nintendo Switch). Dicho esto, lo más probable es que la compañía lance actualizaciones de seguridad continuas para esta vulnerabilidad.

Hace un par de meses fue revelada otra investigación relativa a los PLCs Siemens S7; en esa ocasión, los expertos descubrieron que todas las familias modernas de PLC S7 ejecutaban la misma versión de firmware, además de que compartían la misma clave criptográfica; la compañía recibió todos estos reportes y comenzó el proceso de corrección de fallas de seguridad.