Múltiples vulnerabilidades en Fuji Electric V-Server

Esta herramienta conecta las PC dentro de las organizaciones a un sistema de control industrial

Expertos en hacking ético descubrieron diversas vulnerabilidades en Fuji Electric V-Server, una herramienta que conecta las PC dentro de las organizaciones a los sistemas de control industrial (ICS) en la red corporativa. El Equipo de Respuesta a Emergencias Informáticas de Sistemas de Control Industrial (ICS-CERT) publicó dos avisos de seguridad para alertar sobre la existencia de fallas que podrían tener un impacto severo en una amplia gama de compañías en el sector de la manufactura.

Las vulnerabilidades clasificadas como de “alta gravedad” podrían ser explotadas de forma remota para ejecutar código arbitrario. El tipo de problemas que afectan a los sistemas ICS son muy peligrosos y representan una amenaza grave para las empresas, consideran especialistas en hacking ético. Las vulnerabilidades que afectan a los productos que conectan la red corporativa con los sistemas de control industrial pueden representar una seria amenaza, ya que así es como muchos agentes maliciosos intentan ingresar a los sistemas sensibles de las organizaciones.

Los dispositivos Fuji Electric V-Server tienen acceso a controladores lógicos programables (PLC) en la red corporativa a través de Ethernet. El control de los PLC se implementa a través de las interfaces hombre-máquina (HMI) de Monitouch.

“La explotación exitosa de estas vulnerabilidades podría permitir la ejecución remota de código en el dispositivo comprometido, provocando denegación de servicio o exposición de información sensible”, menciona el aviso de seguridad publicado por el ICS CERT.

La lista de vulnerabilidades incluye desbordamiento del búfer, escritura fuera de límites, desbordamiento de enteros, lectura fuera de límites y vulnerabilidades de desbordamiento del búfer basadas en la pila que podrían ser explotadas por atacantes remotos para ejecutar código arbitrario y desencadenar denegación de servicio (DoS) o divulgación de información.

Especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética afirma que lo peor del suceso es que diversos exploits públicos para las vulnerabilidades ya se encuentran disponibles en línea.

El ICS-CERT también advierte sobre otro desbordamiento de búfer de alta gravedad en V-Server Lite que puede conducir a una condición DoS o filtración de información. La falla podría desencadenarse engañando a las víctimas para que abran archivos de proyectos especialmente diseñados.

Por su parte, el fabricante dio tratamiento a los problemas con el lanzamiento de la versión 4.0.4.0.

La vulnerabilidades fueron informadas al proveedor a través del programa Zero Day Initiative (ZDI) por los investigadores Steven Seeley y Ariele Caltabiano.

Esta vulnerabilidad alcanzó un puntaje de 6.8/10 en el sistema Common Vulnerability Scoring System (CVSS), lo que la convierte en el fallo de seguridad más grave encontrado por estos investigadores.