Fran Brizzolis en Informáticos, Telecomunicaciones e Informática, Informática y Tecnología Gestor comercial 6/10/2016 · 1 min de lectura · +500

Aviso de seguridad: Múltiples vulnerabilidades en productos Beckhoff

Aviso de seguridad:  Múltiples vulnerabilidades en productos Beckhoff

Recursos afectados: 

Los recursos afectados por las vulnerabilidades son:

  • Imágenes de PC Beckhoff embebidos creadas antes del 22 de octubre de 2014.
  • Todos los componentes de TwinCAT que presentan comunicación Automation Device Specification (ADS).


Descripción: 

El investigador Marko Schuba de la universidad de Aachen ha identificado varias vulnerabilidades en las imágenes de los PC embebidos y en los componentes de TwinCAT del fabricante Beckhoff.


Solución: 

Beckhoff recomienda en su manual de seguridad usar cortafuegos de red y de software para bloquear todos los puertos de red excepto aquellos que sean necesarios. Beckhoff también recomienda que las contraseñas por defecto sean cambiadas durante las pruebas antes de conectar los sistemas a la red.

Beckhoff también recomienda en sus avisos las siguientes soluciones de mitigación:

  • Actualizar las imágenes a la fecha 22 de octubre de 2014 o posterior, para resolver el problema de deshabilitar el servicio por defecto.
  • Deshabilitar la herramienta de configuración remota de Windows CE eliminando el subárbol “/remoteadmin”. La configuración de las rutas del servidor web puede ser encontrada en el registro de windows en la ruta “HKEY_LOCAL_MACHINE\COMM\HTTPD\VROOTS\”.
  • Deshabilitar el inicio de servicio CE Remote Display (cerdisp.exe) eliminando la clave de registro “CeRDisp.exe” [-HKEY_LOCAL_MACHINE\init\Launch90].
  • Deshabilitar telnet modificando la clave de registro HKEY_LOCAL_MACHINE\Services\TELNETD\Flags al valor 4.
  • Restringir las comunicaciones ADS a solo las redes de confianza.


Detalle: 

Las vulnerabilidades, que pueden ser explotadas de forma remota, son las siguientes:

  • Restricción inadecuada ante múltiples intentos de autenticación: Un potencial atacante puede utilizar el protocolo ADS para probar un gran número de combinaciones de usuarios y contraseñas. Se ha asignado el identificador CVE-2014-5414 para esta vulnerabilidad.
  • Funciones o métodos peligrosos expuestos: En versiones anteriores al 22 de octubre de 2014, las imágenes de los PC embebidos se liberaban con la herramienta de configuración de remota de Windows CE activa, el servicio CE Remote Display habilitado y el servicio telnet también habilitado, servicios solo recomendados en redes de confianza. Sin la protección adecuada, un atacante puede hacer uso de estos servicios accediendo sin autorización al sistema o leer y manipular la información transmitida, incluyendo contraseñas.


Referencias: 

https://ics-cert.us-cert.gov/advisories/ICSA-16-278-02



Fran Brizzolis 6/10/2016 · #2

Totalmente de acuerdo Roberto.... A mi todo esto me suena a "vulnerabilidad programada", es decir yo Beckhoff en caso de que me intrese doy a conocer una vulnerabilidad de "zero-day" (que en realidad es un fallo simple pero que no hemos comunicado, por eso es lo mismo que decir que somos idiotas), y de paso quedamos genial porque damos la imagen de una empresa que rápidamente es capaz de solucionar estos temas.
No obstante soy muy cauto con estos temas, porque no sé la realidad de la situación, pero insisto, muchas vulnerabilidades que se publican como muy graves, son en realidad fallos simples de digamos "administaración del sistema" y "buenas prácticas" , que se disfrazan de cosas mucho más graves como por ejemplo un "zero-day"... Y desde luego la segmentación de la red y del propio sistema (por decirlo de algún modo), es simplemente imprescindible. Gracias por tu comentario @Roberto Solé Azuaga.

0
Roberto Solé Azuaga 6/10/2016 · #1

La solución a un agujero de seguridad es que me metas bien de software, cerrando todos los puertos salvo los que uses, ahora bien, ¿los que uso no son un punto de acceso?

Iba a decir que me sorprende que empresas así no sean capaces de detectar estos fallos serior y tenga que ser un tercero quien lo encuentre. Pese a todo me asalta la duda sobre si el sabian del fallo y en 2014 lo solventaron o se solvento por casualidad y lo han encontrado de suerte.

Ahora bien, durante dos años si tenias un sistema con ellos, ¿se ha vulnerado tu seguridad? Dos años es mucho tiempo.

No se que opinais los demas, pero, me empieza ha sonar a humor la seguridad informatica, porque la cantidad de agujeros que hay es de coña.

+1 +1