Se revelan vulnerabilidades en los sistemas SCADA
Las vulnerabilidades, que podrían permitir la ejecución de código ajeno además de ataques de denegación de servicio, afectan a los productos de seis proveedores, entre ellos Rockwell.
Un investigador de seguridad italiano reveló detalles de varias vulnerabilidades existentes en los productos SCADA de varios proveedores. Una revelación que refuerza las preocupaciones acerca de las debilidades de este tipo de infraestructuras críticas.
Esta es la segunda revelación que realiza el investigador Luigi Auriemma este año. En marzo también reveló vulnerabilidades similares en productos SCADA de Siemens, Iconics, 7-Technologies y Datac. Su divulgación provocó que el Computer Emergency Response Team (US-CERT) de Estados Unidos emitiera cuatro alertas advirtiendo acerca de las vulnerabilidades de estos sistemas.
En este caso, los descubrimientos de Auriemma afectan a productos SCADA de seis proveedores, incluyendo Rockwell Automation, Cogent Datahub, Measuresoft y Progea. Varios de los defectos podrían permitir la ejecución remota y ataques de denegación de servicio contra los sistemas. En ese sentido, Auriemma afirmó que casi todas las vulnerabilidades que descubrió son defectos de ejecución remota de código que podrían permitir a los atacantes ejecutar código a su elección en los sistemas vulnerables. De hecho, sólo uno de los defectos es una vulnerabilidad de denegación de servicio, si bien aún no está claro si los defectos que afectan a la familia de soluciones de Rockwell podrían permitir la ejecución d
e código ajeno.
Auriemma también afirma que no ha establecido contacto con ninguno de los proveedores acerca de sus hallazgos. "Esto fue solo un experimento rápido en el que he dedicado unos minutos por cada producto". Al menos tres de los proveedores ya han emitido correcciones, mientras que Rockwell está trabajando en una. El investigador italiano solicita además que la US-CERT emita una advertencia oficial acerca de estos defectos.
Los sistemas SCADA se utilizan para controlar equipos críticos de instalaciones energéticas, plantas de tratamiento de agua y otros plantas industriales. Los analistas de seguridad temen que los ataques contra estos sistemas puedan paralizar servicios de infraestructura crítica, como son el suministro eléctrico o el abastecimiento público de agua.
