Resumen Ejecutivo
La vulnerabilidad CVE-2024-11999, a la cual se le ha asignado una puntuación de 8.7 en la versión 4 del Common Vulnerability Scoring System (CVSS), afecta a los productos Harmony HMI y Pro-face HMI de Schneider Electric. Esta vulnerabilidad tiene la capacidad de ser explotada de manera remota y con un bajo nivel de complejidad en el ataque, lo cual aumenta el riesgo de que un usuario autenticado instale código malicioso en el dispositivo HMI, lo que podría resultar en un control total del mismo.
Evaluación de Riesgos
La explotación exitosa de esta vulnerabilidad pone en peligro la seguridad y el funcionamiento adecuado de dispositivos críticos, permitiendo a un atacante obtener un control completo, una amenaza significativa en entornos donde estos HMIs son utilizados.
Detalles Técnicos
Los productos afectados incluyen todas las versiones de:
- Harmony HMIST6
- Harmony HMISTM6
- Harmony HMIG3U
- Harmony HMIG3X
- Serie HMISTO7
- PFXST6000
- PFXSTM6000
- PFXSP5000
- Serie PFXGP4100
La vulnerabilidad está relacionada con el uso de componentes de terceros que no reciben mantenimiento, catalogada en la categoría CWE-1104. Se clasifica con una puntuación de 8.8 en CVSS v3.1 y su vector incluye parámetros que reflejan una alta severidad, indicando que la vulnerabilidad es crítica para la seguridad de estos dispositivos.
Contexto y Antecedentes
La vulnerabilidad afecta sectores de infraestructura crítica, incluidos sistemas químicos, de fabricación, de energía y de agua en un alcance global. Schneider Electric, con sede en Francia, ha informado sobre esta vulnerabilidad a CISA para que la comunidad esté al tanto y tome medidas.
Mitigaciones Recomendadas
Para reducir el riesgo de explotación, Schneider Electric sugiere a los usuarios que:
- Utilicen HMI en entornos protegidos, evitando conexiones a Internet público o redes no confiables.
- Implementen segmentación de red y firewalls para bloquear accesos no autorizados.
- Limiten el uso de dispositivos portátiles no verificados y restringan el acceso a aplicaciones de firmware.
- Utilicen protocolos de comunicación seguros para el intercambio de archivos.
Además, la empresa recomienda adoptar las mejores prácticas de ciberseguridad, tales como:
- Aislar redes de sistemas de control y dispositivos remotos mediante firewalls.
- Instalar controles físicos para evitar accesos no autorizados a sistemas de control industrial.
- Mantener todos los controladores en gabinetes cerrados con llave y evitar su acceso no autorizado.
- Realizar escaneos de seguridad en métodos de intercambio de datos antes de utilizarlos en dispositivos conectados a redes críticas.
- Adoptar conexiones seguras como VPNs, manteniéndolas actualizadas.
CISA también proporciona directrices para la mitigación de riesgos y álbum materiales sobre la ciberseguridad de sistemas de control. Es fundamental que las organizaciones realicen evaluaciones de riesgo y análisis de impacto cuando implementen estas medidas.
Conclusión
Schneider Electric en conjunto con CISA subraya la importancia de actuar frente a esta vulnerabilidad y proporciona recursos para que las organizaciones apliquen las mejores prácticas en sus sistemas de control industrial. Actualmente, no se han reportado explotaciones públicas específicas relacionadas con esta vulnerabilidad, pero se enfatiza la importancia de estar preparado y mantenerse informado sobre posibles amenazas cibernéticas. Para un seguimiento adecuado, las organizaciones deben reportar cualquier actividad sospechosa a CISA.
La primera publicación de este aviso se realizó el 10 de enero de 2025, marcando el inicio de la difusión de información sobre esta vulnerabilidad crítica.