Rockwell Automation recomienda la desconexión de sistemas ICS

Rockwell Automation ha recomendado a sus clientes desconectar todos los sistemas de control industrial (ICS) que no están diseñados para estar conectados a Internet públicamente. Esta medida es parte de un esfuerzo por mitigar la actividad cibernética maliciosa o no autorizada. La empresa ha emitido este aviso en respuesta al aumento de tensiones geopolíticas y la creciente actividad cibernética adversa a nivel mundial. Rockwell Automation insta a sus clientes a tomar acciones inmediatas para identificar cualquier dispositivo accesible desde Internet y desconectar aquellos que no necesitan estar expuestos, con el fin de proteger sus infraestructuras de posibles amenazas cibernéticas.

Comunicado de Rockwell

Rockwell Automation ha emitido un aviso de seguridad instando a sus clientes a desconectar de la Internet pública todos los dispositivos que no están específicamente diseñados para dicha conectividad, como soluciones en la nube y de borde. Este paso proactivo es crucial para reducir la superficie de ataque y la exposición inmediata a actividades cibernéticas maliciosas y no autorizadas. En el último tiempo y a raíz de las tensiones geopolíticas, ha aumentado significativamente la motivación de los ciberactores en afectar este tipo de dispositivos, a fin de causar daños generalizados que afectan directamente a la sociedad e infraestructuras críticas, por ello es importante proteger los activos de los clientes de actores de amenazas externos.

Ilustración 1: Diagrama de infección PLC
Fuente: NDSS

Fallos de seguridad reportados

Las organizaciones deben asegurarse de haber adoptado las mitigaciones y parches necesarios para protegerse contra las siguientes fallas de seguridad:

CVE-2021-22681 (puntuación CVSS: 10,0)

CVE-2022-1159 (puntuación CVSS: 7,7)

CVE-2023-3595 (puntuación CVSS: 9,8)

CVE-2023-46290 (puntuación CVSS: 8,1)

CVE-2024-21914 (puntuación CVSS: 5,3/6,9)

CVE-2024-21915 (puntuación CVSS: 9,0)

CVE-2024-21917 (puntuación CVSS: 9,8)

Consecuencias similares a Stuxnet

Una reciente investigación del Instituto de Tecnología de Georgia, presentada en el Simposio NDSS en marzo de 2024, revela que es posible llevar a cabo ataques estilo Stuxnet comprometiendo aplicaciones web alojadas en servidores de PLC. Estos ataques explotan la interfaz web de los PLC para monitoreo y configuración remota, obteniendo acceso inicial y utilizando API legítimas para sabotear maquinaria real. Los investigadores destacan que estos ataques pueden falsificar lecturas de sensores, desactivar alarmas de seguridad y manipular actuadores físicos. La incorporación de tecnología web en entornos de control industrial introduce nuevas preocupaciones de seguridad no presentes en TI o IoT de consumo. Además, este malware basado en la web presenta ventajas como independencia de plataforma, facilidad de implementación y mayor persistencia, permitiendo acciones maliciosas encubiertas sin necesidad de malware de lógica de control.

Sistemas expuestos en Latinoamérica

Usando una herramienta de búsqueda de sistemas expuestos de cara a internet (no necesariamente vulnerables) se pueden detectar más de 4.400 instancias de Rockwell Automation a nivel mundial, la gran mayoría de estos dispositivos están geolocalizados en Estados Unidos. Si nos enfocamos exclusivamente en Latinoamérica este listado lo encabeza Chile con 18 dispositivos y le siguen Argentina y Brasil con 3 cada uno. A continuación, se muestra un mapa representativo:

Ilustración 2: Mapa sistemas Rockwell Automation en Latinoamérica
Fuente: Grupo CTI Entel Digital

Recomendaciones generales

Para proteger las redes OT e ICS, se recomienda limitar la exposición de la información del sistema, auditar y proteger los puntos de acceso remoto, restringir el acceso a la red y controlar las herramientas y scripts de las aplicaciones del sistema a usuarios legítimos, realizar revisiones de seguridad periódicas e implementar un entorno de red dinámico.

Apreciación

Las amenazas en los entornos de Tecnología Operativa (OT) y Sistemas de Control Industrial (ICS) están en aumento, exacerbadas por consecuencias geopolíticas y la integración de tecnologías web que introducen nuevas vulnerabilidades. Investigaciones recientes han demostrado que ataques avanzados, similares a Stuxnet, pueden comprometer estos sistemas mediante la explotación de interfaces web y API legítimas, permitiendo a los atacantes manipular maquinaria y falsificar datos críticos sin ser detectados. Esta situación subraya la urgente necesidad de reforzar la ciberseguridad en los entornos OT e ICS, desconectando dispositivos no diseñados para la Internet pública y adoptando medidas proactivas para reducir la superficie de ataque y proteger la infraestructura crítica de actores maliciosos cada vez más sofisticados.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Desconectar todos los sistemas de control industrial (ICS) que no están diseñados para estar conectados a Internet públicamente.
• Realizar una evaluación exhaustiva para identificar dispositivos accesibles desde Internet y asegurar que aquellos no destinados a la conectividad pública sean desconectados.
• Mantener todos los sistemas y software actualizados con los últimos parches de seguridad para corregir vulnerabilidades conocidas.
• Utilizar segmentación de red para aislar los sistemas OT e ICS del resto de la red corporativa y del acceso público a Internet.
• Implementar firewalls robustos y sistemas de detección y prevención de intrusos (IDS/IPS) específicos para proteger los entornos OT.
• Implementar controles de acceso estrictos, utilizando autenticación multifactor (MFA) y gestionando cuidadosamente las credenciales de usuarios y administradores.
• Establecer un sistema de monitoreo continuo y auditoría para detectar y responder a actividades inusuales o sospechosas en tiempo real.
• Capacitar al personal en prácticas de ciberseguridad y concienciarlos sobre las amenazas específicas a los entornos OT e ICS.
• Realizar evaluaciones de seguridad y pruebas de penetración periódicas para identificar y mitigar posibles vulnerabilidades.
• Establecer y probar regularmente un plan de respuesta a incidentes específico para OT e ICS para asegurar una reacción rápida y eficaz en caso de una brecha de seguridad.
• Adoptar medidas de resiliencia, como redundancia y planes de recuperación ante desastres, para asegurar la continuidad operativa frente a ataques cibernéticos.