Aviso de seguridad: Múltiples vulnerabilidades en productos Beckhoff

Recursos afectados: 

Los recursos afectados por las vulnerabilidades son:

• Imágenes de PC Beckhoff embebidos creadas antes del 22 de octubre de 2014.
• Todos los componentes de TwinCAT que presentan comunicación Automation Device Specification (ADS).

Descripción: 

El investigador Marko Schuba de la universidad de Aachen ha identificado varias vulnerabilidades en las imágenes de los PC embebidos y en los componentes de TwinCAT del fabricante Beckhoff.

Solución: 

Beckhoff recomienda en su manual de seguridad usar cortafuegos de red y de software para bloquear todos los puertos de red excepto aquellos que sean necesarios. Beckhoff también recomienda que las contraseñas por defecto sean cambiadas durante las pruebas antes de conectar los sistemas a la red.

Beckhoff también recomienda en sus avisos las siguientes soluciones de mitigación:

• Actualizar las imágenes a la fecha 22 de octubre de 2014 o posterior, para resolver el problema de deshabilitar el servicio por defecto.
• Deshabilitar la herramienta de configuración remota de Windows CE eliminando el subárbol “/remoteadmin”. La configuración de las rutas del servidor web puede ser encontrada en el registro de windows en la ruta “HKEY_LOCAL_MACHINE\COMM\HTTPD\VROOTS\”.
• Deshabilitar el inicio de servicio CE Remote Display (cerdisp.exe) eliminando la clave de registro “CeRDisp.exe” [-HKEY_LOCAL_MACHINE\init\Launch90].
• Deshabilitar telnet modificando la clave de registro HKEY_LOCAL_MACHINE\Services\TELNETD\Flags al valor 4.
• Restringir las comunicaciones ADS a solo las redes de confianza.

Detalle: 

Las vulnerabilidades, que pueden ser explotadas de forma remota, son las siguientes:

• Restricción inadecuada ante múltiples intentos de autenticación: Un potencial atacante puede utilizar el protocolo ADS para probar un gran número de combinaciones de usuarios y contraseñas. Se ha asignado el identificador CVE-2014-5414 para esta vulnerabilidad.
• Funciones o métodos peligrosos expuestos: En versiones anteriores al 22 de octubre de 2014, las imágenes de los PC embebidos se liberaban con la herramienta de configuración de remota de Windows CE activa, el servicio CE Remote Display habilitado y el servicio telnet también habilitado, servicios solo recomendados en redes de confianza. Sin la protección adecuada, un atacante puede hacer uso de estos servicios accediendo sin autorización al sistema o leer y manipular la información transmitida, incluyendo contraseñas.

Referencias: 

https://ics-cert.us-cert.gov/advisories/ICSA-16-278-02