Positive Technologies desarrolló un paquete de conocimientos para PT ICS, una plataforma integrada de ciberseguridad industrial. El paquete admite los sistemas de Yokogawa Electric Corporation. Los usuarios de la plataforma podrán detectar ataques al sistema de control distribuido de CENTUM VP (que utilizan 10 000 empresas químicas, alimentarias, hídricas, de energía, de petróleo y gas, de productos farmacéuticos y de otros tipos), así como ataques al sistema de seguridad ProSafe-RS, que se utiliza en más de 24 000 proyectos.

El nuevo paquete de conocimientos les permite a los usuarios determinar los vectores de ataque más populares en los sistemas de control distribuido: fallas y anomalías de red (sustitución de una dirección host con otra ya existente o dificultades con copias de seguridad de datos), intentos de acceso no autorizado (manipulación de contraseñas y anomalías en el sistema de autenticación) y el uso de contraseñas estándar.

Al trabajar en el paquete de conocimientos, Denis Alimov, experto de Positive Technologies, encontró la vulnerabilidad CVE-2023-26593 (BDU:2022-05068), que obtuvo una puntuación de 6,5 en la escala CVSS v3. La vulnerabilidad afectaba a los sistemas de control distribuido de varias generaciones, como CENTUM CS 1000 que se produce desde la década de los 90. Las generaciones CENTUM CS 3000 y CENTUM VP R4-R6 también se vieron afectadas. Los servidores Exaopc OPC¹ que utilizaba Yokogawa Electric Corporation para conectar sistemas de control industrial con software de terceros también eran vulnerables. Se notificó al proveedor acerca de la vulnerabilidad en nuevas versiones de software y se ofreció a los usuarios un método de autenticación alternativo como medida para reducir el riesgo.

Denis Alimov, especialista sénior en Seguridad Industrial de Positive Technologies, dijo lo siguiente: “Al explotar la vulnerabilidad, los atacantes podían obtener permisos de acceso con altos privilegios a un sistema de control industrial. Esto les permitiría, por ejemplo, controlar el proceso, bloquearlo o desbloquearlo, e iniciar y cargar configuraciones de procesos. Los atacantes también podrían detener el funcionamiento de los controladores lógicos programables (PLC) y cambiar los umbrales de los parámetros de los equipos y las configuraciones de desarrollo (indicadores de alarma, sonido y otros). Además, los hackers podían bloquear el acceso de los usuarios al entorno de desarrollo y, en consecuencia, el control de procesos industriales. De acuerdo a la clasificación de MITRE², esto es un ataque de denegación de control que puede tener graves consecuencias”.

El proveedor ya no brinda soporte a algunos sistemas de control distribuido, incluidos CENTUM CS 1000, CENTUM CS 3000 y CENTUM VP R4-R5, y por lo tanto estos ya no se actualizan. Cualquier vulnerabilidad expuesta, como CVE-2023-26593 (BDU:2022-05068), puede afectar la seguridad de una planta industrial.

Gracias al nuevo paquete diseñado para impedir la explotación de dichas vulnerabilidades, PT ICS controla cualquier cambio que pueda realizarse a un proyecto y detecta casos de inicio anormal, bloqueos de componentes y el uso de software especializado en modos peligrosos. PT ICS comprueba de forma automática los archivos críticos, incluido el firmware, en busca de integridad e indicadores de compromiso. La plataforma también registra violaciones de seguridad física, como intentos de irrumpir en teclados industriales especiales, en los cuales el nivel de acceso se regula mediante una llave mecánica. Todo esto permite garantizar la protección integral de la infraestructura basada en los sistemas de Yokogawa Electric Corporation.

1. Una familia de tecnologías para el intercambio unificado de datos con cualquier dispositivo (https://en.wikipedia.org/wiki/Open_Platform_Communications).
2. MITRE es una organización tecnológica sin fines de lucro que se ocupa de la ciberseguridad.