La vulnerabilidad del software de Schneider Electric afecta a los controladores PLC de infraestructura crítica en todos los países

Stuxnet es una variante de malware diseñado para atacar a los controladores lógicos programables (PLC) SIMATIC S7-300 y S7-400 de Siemens. Acorde a especialistas en redes y seguridad informática, el gobierno de E.U., en conjunto con Israel, emplearon este malware para atacar las instalaciones nucleares de Irán hace diez años. Durante el ataque, el malware cargó código malicioso en dispositivos específicos, reemplazando un archivo DLL asociado con el software de programación del controlador STEP7 de Siemens. 

Hace algunas semanas, los expertos de Airbus Cybersecurity informaron el hallazgo de una vulnerabilidad similar en el software de ingeniería EcoStruxure Control Expert de Schneider Electric. Identificada como CVE-2020-7475, esta falla podría ser explotada para cargar código malicioso en los PLC Modicon M340 y M580 reemplazando uno de los archivos DLL asociados con el software, lo que podría provocar interrupciones en el servicio. La falla recibió un puntaje de 8.2/10 en el Common Vulnerability Scoring System (CVSS).

Además de esta falla, los expertos informaron sobre el hallazgo de CVE-2020-7489, una vulnerabilidad prácticamente idéntica y que recibió el mismo puntaje del CVSS. Acorde a los expertos en redes y seguridad informática, la compañía ya ha lanzado los parches correspondientes, aunque señalan que otros productos similares de otros fabricantes podrían verse afectados.

Karl Sigler, especialista en ciberseguridad, menciona que la explotación de CVE-2020-7489 requiere acceso al entorno que aloja el software SoMachine y el PLC objetivo. “Para explotar esta vulnerabilidad, los actores de amenazas necesitarían realizar la inyección usando el mismo contexto de usuario que un usuario local autorizado para ejecutar el software”.

Los expertos en redes y seguridad informática también hicieron un descubrimiento interesante relacionado con una vieja vulnerabilidad que afecta al software de Schneider Electric. En 2017, la compañía notificó a sus clientes acerca de CVE-2017-6034, una vulnerabilidad crítica que permitía a los hackers enviar comandos de ejecución, detención, carga y descarga a un PLC mediante un ataque de repetición. Además, los expertos descubrieron que hasta hace unos meses todavía se podría lanzar un ataque abusando de una sesión existente entre EcoStruxure Machine Expert y el PLC. Como resultado de estos hallazgos, Schneider tuvo que seguir trabajando con estas fallas.

“La vulnerabilidad original permite la captura y reproducción de paquetes en el PLC. Por ejemplo, un atacante podría reproducir un paquete con el comando ‘Detener’ enviado al PLC para detener el PLC en cualquier momento”, explica el experto. “Aunque esta falla fue corregida en 2017, el ataque aún podía ser desplegado si el hacker contaba con acceso a una sesión existente”.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.