Rockwell Automation ha recomendado a sus clientes desconectar todos los sistemas de control industrial (ICS) que no están diseñados para estar conectados a Internet públicamente. Esta medida es parte de un esfuerzo por mitigar la actividad cibernética maliciosa o no autorizada. La empresa ha emitido este aviso en respuesta al aumento de tensiones geopolíticas y la creciente actividad cibernética adversa a nivel mundial. Rockwell Automation insta a sus clientes a tomar acciones inmediatas para identificar cualquier dispositivo accesible desde Internet y desconectar aquellos que no necesitan estar expuestos, con el fin de proteger sus infraestructuras de posibles amenazas cibernéticas.
Comunicado de Rockwell
Rockwell Automation ha emitido un aviso de seguridad instando a sus clientes a desconectar de la Internet pública todos los dispositivos que no están específicamente diseñados para dicha conectividad, como soluciones en la nube y de borde. Este paso proactivo es crucial para reducir la superficie de ataque y la exposición inmediata a actividades cibernéticas maliciosas y no autorizadas. En el último tiempo y a raíz de las tensiones geopolíticas, ha aumentado significativamente la motivación de los ciberactores en afectar este tipo de dispositivos, a fin de causar daños generalizados que afectan directamente a la sociedad e infraestructuras críticas, por ello es importante proteger los activos de los clientes de actores de amenazas externos.
Ilustración 1: Diagrama de infección PLC
Fuente: NDSS
Fallos de seguridad reportados
Las organizaciones deben asegurarse de haber adoptado las mitigaciones y parches necesarios para protegerse contra las siguientes fallas de seguridad:
CVE-2021-22681 (puntuación CVSS: 10,0)
CVE-2022-1159 (puntuación CVSS: 7,7)
CVE-2023-3595 (puntuación CVSS: 9,8)
CVE-2023-46290 (puntuación CVSS: 8,1)
CVE-2024-21914 (puntuación CVSS: 5,3/6,9)
CVE-2024-21915 (puntuación CVSS: 9,0)
CVE-2024-21917 (puntuación CVSS: 9,8)
Consecuencias similares a Stuxnet
Una reciente investigación del Instituto de Tecnología de Georgia, presentada en el Simposio NDSS en marzo de 2024, revela que es posible llevar a cabo ataques estilo Stuxnet comprometiendo aplicaciones web alojadas en servidores de PLC. Estos ataques explotan la interfaz web de los PLC para monitoreo y configuración remota, obteniendo acceso inicial y utilizando API legítimas para sabotear maquinaria real. Los investigadores destacan que estos ataques pueden falsificar lecturas de sensores, desactivar alarmas de seguridad y manipular actuadores físicos. La incorporación de tecnología web en entornos de control industrial introduce nuevas preocupaciones de seguridad no presentes en TI o IoT de consumo. Además, este malware basado en la web presenta ventajas como independencia de plataforma, facilidad de implementación y mayor persistencia, permitiendo acciones maliciosas encubiertas sin necesidad de malware de lógica de control.
Sistemas expuestos en Latinoamérica
Usando una herramienta de búsqueda de sistemas expuestos de cara a internet (no necesariamente vulnerables) se pueden detectar más de 4.400 instancias de Rockwell Automation a nivel mundial, la gran mayoría de estos dispositivos están geolocalizados en Estados Unidos. Si nos enfocamos exclusivamente en Latinoamérica este listado lo encabeza Chile con 18 dispositivos y le siguen Argentina y Brasil con 3 cada uno. A continuación, se muestra un mapa representativo:
Ilustración 2: Mapa sistemas Rockwell Automation en Latinoamérica
Fuente: Grupo CTI Entel Digital
Recomendaciones generales
Para proteger las redes OT e ICS, se recomienda limitar la exposición de la información del sistema, auditar y proteger los puntos de acceso remoto, restringir el acceso a la red y controlar las herramientas y scripts de las aplicaciones del sistema a usuarios legítimos, realizar revisiones de seguridad periódicas e implementar un entorno de red dinámico.
Apreciación
Las amenazas en los entornos de Tecnología Operativa (OT) y Sistemas de Control Industrial (ICS) están en aumento, exacerbadas por consecuencias geopolíticas y la integración de tecnologías web que introducen nuevas vulnerabilidades. Investigaciones recientes han demostrado que ataques avanzados, similares a Stuxnet, pueden comprometer estos sistemas mediante la explotación de interfaces web y API legítimas, permitiendo a los atacantes manipular maquinaria y falsificar datos críticos sin ser detectados. Esta situación subraya la urgente necesidad de reforzar la ciberseguridad en los entornos OT e ICS, desconectando dispositivos no diseñados para la Internet pública y adoptando medidas proactivas para reducir la superficie de ataque y proteger la infraestructura crítica de actores maliciosos cada vez más sofisticados.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
. | . |