Vulnerabilidades críticas em sistemas de controle industrial de quatro fornecedores

Vulnerabilidades variam de críticas a alta-severidade, permitindo cenários de negação de serviço e execução de código arbitrário.

A semana foi movimentada para o setor de segurança em sistemas industriais de controle. Quatro grandes fornecedores tiveram anunciadas vulnerabilidades associadas a diversos de seus dispositivos. Apresentamos, a seguir, as principais informações sobre as vulnerabilidades, incluindo links para CVE e boletins CISA, quando for o caso.

Real Time Automation (RTA). Uma vulnerabilidade de estouro de pilha (stack overflow) foi descoberta no ENIP 499ES, em todas as versões anteriores à 2.28. O código de terceiros usado no 499ES EtherNet/IP (ENIP) pode ser acionado para causar condições propícias para um ataque de negação de serviço. A falha foi anunciada pela Claroty no dia 17-nov-2020. A vulnerabilidade foi registrada como CVE-2020-25159 e o nível de severidade (CVSS – Common Vulnerability Scoring System) foi classificado como 9.8 de 10. A RTA havia disponibilizado informação a respeito da vulnerabilidade em 27-out-2020.

Paradox. O fabricante de dispositivos de segurança Paradox também anunciou um bug crítico relacionado a estouro (overflow) de buffer impactando seu Módulo de Internet IP150, com possibilidade de execução arbitrária de código. A vulnerabilidade foi registrada como CVE-2020-25189 e a CISA (Cybersecurity Infrastructure Security Agency) a comentou num boletim publicado na terça-feira, 17-nov-2020.

Uma segunda vulnerabilidade do IP150 abre o módulo para cinco possibilidades de estouro de buffer pós-autenticação, também com a possibilidade de execução de código arbitrário. A vulnerabilidade foi registrada como CVE-2020-25185. A Paradox informou que não há exploits públicos conhecidos visando as vulnerabilidades, mas também não ofereceu nenhum patch específico para corrigir as falhas..

Sensormatic. A Sensormatic Electronics, subsidiária da Johnson Controls, anunciou a vulnerabilidade revistrada como CVE-2020-9049, impactando o equipamento: American Dynamics victor Web Client and Software House C•CURE Web Client. A CISA lançou um boletim na terça-feira, 17-nov-2020, registrando que a exploração da vulnerabilidade poderia permitir que um invasor não autenticado na rede criasse e assinasse seu próprio web token JSON e o usasse para executar um método HTTP API sem a necessidade de autenticação / autorização válida. Sob certas circunstâncias, isso poderia ser usado por um invasor para impactar a disponibilidade do sistema conduzindo um ataque de negação de serviço

Schneider Electric. A Schneider divulgou nove vulnerabilidades graves em seu sistema SCADA gráfico interativo (Schneider Electric Interactive Graphical SCADA System – IGSS). As vulnerabilidades são analisadas em boletim da CISA divulgado na terça-feira, 17-nov-2020, e estão associadas a três tipos de fraquezas do CWE (Common Weakness Enumeration): CWE-119, CWE-787 e CWE-125.

Maiores informações podem ser obtidas em https://threatpost.com/ics-vendors-warn-critical-bugs/161333/ e nas referências do texto acima.