Un informe de seguridad en redes inalámbricas preparado por los especialistas de la firma rusa Rostelecom Solar reporta el hallazgo de algunas vulnerabilidades, algunas de ellas críticas, en los equipos industriales de Schneider Electric utilizados para controlar sistemas de energía.
Los investigadores analizaron la seguridad del software del controlador integrado para la automatización de subestaciones de transformación Schneider Electric Easergy T300 y el software Schneider Electric Easergy Builder (vendido por separado), que se utiliza para la configuración del equipo.
Algunos usuarios afectados indican que las vulnerabilidades reportadas podrían afectar sus implementaciones de red, aunque Schneider no ha detallado los potenciales escenarios de riesgo.
Según los expertos en seguridad en redes inalámbricas, el servidor web Easergy T300 es altamente vulnerable a los ataques de falsificación de solicitudes entre sitios (XSRF), lo que puede conducir a una configuración incorrecta del controlador y, eventualmente, a incidentes de ciberseguridad. Además, el controlador está expuesto a ataques de denegación de servicio (DoS) debido a una vulnerabilidad no corregida, sin mencionar que se descubrieron problemas con el cifrado en el dispositivo, lo que podría exponer claves de cifrado privadas, credenciales de inicio de sesión para cuentas de usuarios.
Si un actor de amenazas explota algunas de estas fallas, podría obtener control total de los dispositivos vulnerables.
Al respecto, Schneider Electric publicó un comunicado en el que afirman haber trabajado con los investigadores para la corrección de estas fallas. Las vulnerabilidades fueron corregidas en la más reciente actualización de los dispositivos, por lo que se solicita a los administradores de implementaciones afectadas actualizar a la brevedad.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad