10 vulnerabilidades en relays de GE utilizados en las industrias de energía, petróleo y gas pueden causar destrucción masiva

La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) ha publicado un informe en referencia al hallazgo de múltiples vulnerabilidades en la familia de productos UR, desarrollador por la firma tecnológica General Electrics para el control de diversos entornos y tareas industriales. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas acceder a información confidencial, reiniciar los dispositivos de forma arbitraria, obtener acceso privilegiado o causar condiciones de denegación de servicio (DoS).

La agencia especifica que las fallas están presentes en las siguientes versiones de productos UR: B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60 L30, L60, L90, M60, N60, T35 y T60.

El reporte señala el hallazgo de todo tipo de problemas de seguridad, incluyendo debilidades en el cifrado de los sistemas, filtraciones de información confidencial, validación incorrecta de entradas y uso de credenciales de inicio de sesión en hard-code.

La más grave de estas fallas fue descrita como una condición de algoritmos de cifrado débiles para las versiones de firmware anteriores a 8.1x en UR, lo que permitiría el acceso a información potencialmente confidencial. Esta falla recibió un puntaje de 7.5/10 en la escala del Common Vulnerability Scoring System (CVSS) y fue identificada como CVE-2016-2183.

Otra de las fallas que presentan riesgos severos a los usuarios de implementaciones afectadas fue identificada como CVE-2021-27422 y existe debido a que la interfaz del servidor web es compatible con el protocolo UR sobre HTTP, lo que permite la exposición de información potencialmente confidencial.

Al igual que el reporte anterior, esta falla recibió un puntaje CVSS de 7.5/10.

El resto de fallas recibió puntajes menores a 5.5/10, lo que quiere decir que su proceso de explotación es muy complejo o requiere demasiadas condiciones previas, por lo que no se les considera fallas severas.

Como medida de seguridad, General Electrics recomienda encarecidamente a los usuarios de versiones de firmware afectadas que actualicen sus dispositivos UR a la versión de firmware UR 8.10 y superiores. El sitio web oficial de la compañía muestra detalles adicionales para la mitigación del riesgo.

En caso de no poder actualizar a las versiones de firmware seguras, la compañía recomienda a los administradores implementar las siguientes medidas de seguridad:

  • Minimizar la exposición de la red para todos los dispositivos del sistema de control, además de asegurarse de que no sean accesibles a través de Internet
  • Identificar las redes del sistema de control y los dispositivos remotos detrás de los firewalls y, de ser necesario, aislarlos de la red empresarial

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).