HayCanal.com

Atacando SCADA a través de Interfaces de Máquinas Humanas

Atacando SCADA a través de Interfaces de Máquinas Humanas

Los sistemas SCADA ejecutan varias de las infraestructuras críticas de diversos sectores en todo el mundo, lo que les convierte en inherentemente atractivos para diferentes agentes de amenazas.

Los creadores de amenazas pueden usar su acceso a los sistemas SCADA para recopilar información como el diseño de una instalación, umbrales críticos o ajustes y configuraciones de dispositivos para utilizarlos en ataques posteriores. El sabotaje, incluyendo la interrupción de los servicios o la posibilidad de desencadenar situaciones peligrosas, e incluso letales que implican a materiales inflamables o recursos críticos, representan un extremo indeseable.

Amenazas como Stuxnet y los ataques de la red eléctrica de Ucrania dan ideas claras sobre cuánto daño puede infligir un adversario determinado no sólo en el negocio o en una operación en cuestión, sino también en la población general. Los atacantes se infiltran en los sistemas SCADA a través de diversos medios, uno de los cuales es a través de la explotación de vulnerabilidades de software que prevalecen en las HMI. A menudo, el operador controla un sistema SCADA a través del HMI, que con frecuencia se instala en una ubicación habilitada para la red. Como tal, el HMI debe ser considerado como un objetivo prioritario dentro de un sistema SCADA, por lo que solo debería instalarse en una red air gap1 o aislada sobre una red confiable. La experiencia demuestra que no siempre es así. (Un sistema Air Gap es un sistema informático que no se conecta a internet, normalmente por motivos de seguridad).

¿Qué es un HMI?

Una Interfaz de Máquina Humana (HMI, por sus siglas en inglés) muestra datos de máquinas a un humano y acepta comandos de un operador humano a máquinas. A través de esta interfaz, un operador monitoriza y responde a la información mostrada en un sistema. Un HMI moderno proporciona una visualización altamente avanzada y personalizable sobre el estado actual de un sistema.

Categorías de vulnerabilidades HMI más comunes

El equipo Trend Micro Zero Day Initiative (ZDI) ha examinado el estado actual de la seguridad de SCADA HMI revisando todas las vulnerabilidades publicadas en el software SCADA que se han reparado desde 2015 y 2016, incluyendo 250 vulnerabilidades adquiridas a través del programa ZDI.

Los investigadores de Trend Micro han encontrado que la mayoría de estas vulnerabilidades se encuentran en las áreas de corrupción de memoria, administración de credenciales deficiente, falta de autenticación/autorización y valores predeterminados inseguros, y errores de inyección de código, todos los cuales se pueden prevenir a través de prácticas seguras de desarrollo.

  • Corrupción de memoria: 20,44%
  • Gestión de credenciales: 18,98%
  • Falta de autenticación/autorización y valores predeterminados inseguros: 23,36%
  • Inyección de código: 8,76%
  • Otros: 28,46%

Corrupción de memoria: los problemas de corrupción de memoria representan el 20% de las vulnerabilidades identificadas. Las debilidades de esta categoría suponen problemas clásicos de seguridad a nivel de código, desbordamiento de búfer basado en “stack and heap” y vulnerabilidades de lectura/escritura fuera de los límites.

Gestión de credenciales: las cuestiones relacionadas con la gestión de credenciales suponen el 19% de las vulnerabilidades identificadas. Las vulnerabilidades en esta categoría representan casos como el uso de contraseñas codificadas, el almacenamiento de contraseñas en un formato recuperable (por ejemplo, texto sin cifrar) e insuficiente protección de las credenciales.

Falta de autenticación/autorización e inseguridad por defecto: esta categoría representa el 12% de las vulnerabilidades SCADA. Incluye muchos valores predeterminados inseguros, transmisión de información confidencial sin cifrar, cifrado perdido y controles ActiveX inseguros marcados como seguros para la creación de secuencias de comandos.

Problemas de inyección de código: este apartado representa el 9% de las vulnerabilidades identificadas. Mientras que los tipos comunes de inyección SQL, comando, sistema operativo (OS), código, todavía se producen, hay inyecciones específicas de dominio que también representan un riesgo para las soluciones SCADA.

Estadísticas de difusión de la industria SCADA versus otros

Trend Micro ha observado que la media de tiempo que transcurre desde que se revela un error a un fabricante de SCADA hasta que se libera un parche llega hasta los 150 días, 30 días más de lo que requeriría un software ampliamente desplegado, como los de Microsoft o Adobe, pero significativamente menor que las ofertas de empresas como Hewlett Packard Enterprise (HPE) e IBM.

Esto significa que transcurre una media de cinco meses antes de que las vulnerabilidades de SCADA sean reparadas. Esto, por supuesto, difiere entre los fabricantes. Para algunos proveedores puede pasar tan solo una semana, mientras que los más grandes pueden tardar hasta 200 días para hacerlo.


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos