Team82 descubre 15 vulnerabilidades en el sistema de gestión de red de Siemens (SINEC NMS). Las vulnerabilidades permiten ataques de denegación de servicio, recopilación de credenciales y ejecución remota de código.
Los investigadores de seguridad de Team82, el departamento de investigación del especialista en seguridad de sistemas ciberfísicos (CPS) en la industria, centros de salud y empresas Claroty, han descubierto un total de 15 vulnerabilidades en el sistema de gestión de red de Siemens (SINEC NMS). Por ejemplo, CVE-2021-33723 permite a los atacantes escalar sus privilegios y CVE-2021-33722 permite la ejecución remota de código mediante un ataque transversal de ruta. Todas las versiones anteriores a V1.0 SP2 Update 1 están afectadas. Siemens aconseja a los usuarios que actualicen a V1.0 SP2 Actualización 1 o una versión posterior. Además, Siemens ha publicado las instrucciones de seguridad correspondientes.
Vulnerabilidades: Siemens proporciona actualización
La Industria 4.0 está impulsada por una red sólida para aumentar la eficiencia y permitir el intercambio de datos 24/7 entre diferentes dispositivos. Para poder proporcionar dicha funcionalidad, los sistemas de gestión de red (NMS) supervisan y mantienen los elementos de la red industrial. Además, los datos de la red se aprovechan de las funciones del proceso a través de OPC UA y otros protocolos de la industria para permitir la correlación del proceso y la telemetría de la red, lo que garantiza la continuidad y el control del proceso. SINEC NMS de Siemens es una herramienta popular para identificar sistemas y procesos de control en la red, sus respectivas conexiones y dependencias, y su estado. Los diagnósticos generados por la herramienta y la topología de red permiten a los operadores detectar y responder a eventos, mejorar configuraciones, monitorear el estado del dispositivo y realizar actualizaciones de firmware y cambios de configuración.
Posible ataque “Living-Off-The-Land”
Para ello, SINEC tiene acceso a la información de inicio de sesión, claves criptográficas y otros secretos. Sin embargo, esto también puede permitir que los ciberdelincuentes lancen un ataque efectivo de "living-off-the-land", donde las credenciales legítimas y las herramientas de red se utilizan indebidamente para realizar actividades maliciosas. Si tienen acceso a SINEC, pueden usarlo para explorar la red, moverse lateralmente y escalar sus privilegios. Team82 encontró 15 vulnerabilidades diferentes en SINEC que podrían permitir a un atacante escalar sus privilegios, obtener derechos administrativos en el sistema, robar información confidencial, desencadenar un ataque de denegación de servicio en la plataforma e incluso ejecutar código remoto en la máquina host usando NT AUTHORITY Privilegios \SYSTEM.
Los atacantes pueden combinar las vulnerabilidades en Siemens (SINEC NMS) para ejecutar código de forma remota (Imagen: Claroty)
Mientras tanto, Siemens ha puesto a disposición correcciones para varias vulnerabilidades de seguridad y aconseja a todos los usuarios que actualicen a V1.0 SP2 Actualización 1 o una versión posterior. Team82 quisiera agradecer expresamente a Siemens por su cooperación para descubrir estas vulnerabilidades, por confirmar rápidamente los resultados y por resolver rápidamente estas brechas de seguridad.
Cómo se ve este ataque en detalle, una prueba de concepto y más información se puede encontrar en la publicación de blog correspondiente de Claroty.
Más en Claroty.com
Acerca de Claroty Claroty, la empresa de ciberseguridad industrial, ayuda a sus clientes globales a descubrir, proteger y administrar sus activos de OT, IoT e IIoT. La plataforma integral de la compañía se integra a la perfección con la infraestructura y los procesos existentes de los clientes y ofrece una amplia gama de controles de ciberseguridad industrial para transparencia, detección de amenazas, gestión de riesgos y vulnerabilidades y acceso remoto seguro, con un costo total de propiedad significativamente reducido.