A partir del 10 de enero de 2023, la CISA (Agencia de Seguridad Cibernética e Infraestructura) ha anunciado que dejará de actualizar los avisos de seguridad relacionados con las vulnerabilidades de productos Siemens, limitándose únicamente a las informaciones iniciales. Las partes interesadas deben consultar el portal de Siemens para actualizaciones sobre la seguridad de los productos.
Resumen Ejecutivo
Se han identificado dos vulnerabilidades clave en los productos de Siemens, específicamente en las series APOGEE PXC y TALON TC. El Índice CVSS V4 para la vulnerabilidad se sitúa en 8.7, indicando que son explotables de forma remota y con baja complejidad de ataque. Las vulnerabilidades implican una debilidad en el cifrado que podría permitir a un atacante descifrar contraseñas y la posibilidad de causar una denegación de servicio a través de lecturas fuera de los límites.
Evaluación de Riesgos
La explotación exitosa de estas vulnerabilidades podría llevar a un ataque que obligue a los dispositivos a entrar en un estado inoperante y permita el acceso a contraseñas intrínsecas del dispositivo. Esto representaría un riesgo significativo para la seguridad operativa de las infraestructuras críticas que utilizan estas tecnologías.
Detalles Técnicos
Productos afectados: Incluyen todas las versiones de las series APOGEE PXC (P2 Ethernet y BACNET) y TALON TC (BACNET).
Vulnerabilidades destacadas:
-
Fuerza de cifrado inadecuada (CWE-326, CVE-2024-54089):
- La vulnerabilidad se debe a un mecanismo de cifrado débil que puede ser revertido por un atacante.
- Las puntuaciones CVSS V3 y V4 para esta vulnerabilidad son 7.5 y 8.7, respectivamente.
- Lectura fuera de límites (CWE-125, CVE-2024-54090):
- Permite que un usuario autenticado realice lecturas en memoria, potencialmente alterando el funcionamiento del dispositivo.
- Las puntuaciones CVSS V3 y V4 para esta vulnerabilidad son 5.9 y 6.0, respectivamente.
Contexto
Siemens, con sede en Alemania, es un proveedor de sistemas utilizados en sectores de infraestructura crítica a nivel mundial, especialmente en manufactura. Las vulnerabilidades fueron informadas por Siemens a la CISA.
Mitigaciones
Siemens ha propuesto varias mitigaciones para reducir el riesgo asociado a estas vulnerabilidades:
- Para la vulnerabilidad de cifrado (CVE-2024-54089): Utilizar contraseñas complejas.
- Para la vulnerabilidad de lectura fuera de límites (CVE-2024-54090): Cambiar las contraseñas predeterminadas y desactivar Telnet si es posible.
Además, Siemens recomienda adoptar medidas de seguridad para proteger el acceso a sus dispositivos en un entorno TI seguro, siguiendo las pautas de seguridad industrial de Siemens.
CISA también aconseja a las organizaciones que limiten la exposición de sus dispositivos, resguardándolos detrás de firewalls y evitar accesos directos desde Internet. Se sugiere el uso de VPN para accesos remotos, asegurando que estas estén actualizadas y sean seguras.
Prácticas Recomendadas
CISA resalta la importancia de realizar análisis de impacto y evaluaciones de riesgo antes de implementar medidas de seguridad. Además, ofrecen recursos y directrices sobre ciberseguridad para sistemas de control industrial, alentando a las organizaciones a adoptar un enfoque proactivo en la defensa de sus activos. La comunicación de actividad sospechosa a CISA también es fundamental para la recopilación de información sobre incidentes.
Finalmente, la CISA enfatiza que no ha habido reportes de explotación pública de estas vulnerabilidades hasta el momento, pero subraya la necesidad de mantenerse vigilantes y aplicar buenas prácticas de seguridad cibernética en todo momento.