2200+ Potencialmente Expuestos a Vulnerabilidad de Alta Gravedad
La red de automatización y control de edificios (BACnet) es uno de los protocolos SCADA más populares que utilizan los sistemas de automatización y control de edificios para funcionar. Censys busca cinco de los protocolos SCADA más populares (entre ellos Modbus, S7, BACnet, DNP3, Tridium Fox) y una búsqueda rápida muestra que hay 16.899 servidores BACnet accesibles en Internet.
Los profesionales de la seguridad saben desde hace tiempo que estos sistemas de control de edificios son especialmente peligrosos desde el punto de vista de la seguridad. Al igual que otros dispositivos IoT, muchos de estos servidores no están construidos de forma segura y suelen estar mal configurados durante la instalación.
Recuerde también que esta cifra de 16,9 mil sólo incluye los sistemas de control de edificios que funcionan con el protocolo BACnet, que es uno de los más comunes para estos sistemas, pero difícilmente representa una visión global de los sistemas de control de edificios en general.
¿Qué es BACnet?
BACnet fue desarrollado en 1995 por la American Society of Heating, Refrigerating and Air-Conditioning Engineers para controlar los sistemas de los edificios: sistemas de calefacción, ventilación y aire acondicionado, controles de iluminación, dispositivos de detección de incendios, etc. El protocolo se creó para que todos esos dispositivos funcionaran sincronizados y controlados en un mismo "lenguaje", independientemente del proveedor, para compartir datos. Los fabricantes, sin embargo, pueden especificar objetos propietarios, lo que permite que el protocolo se amplíe, pero también impide que funcionen bien juntos.
La investigadora Jaspreet Kaur ha realizado un trabajo realmente sólido en el ámbito de la seguridad de BACnet y afirma que los fabricantes no lo aplican en la práctica. En el artículo de Steven T. Bushby, que profundiza en la historia del protocolo, hay más información sobre BACnet. Los fundadores de Censys también escribieron un artículo de investigación sobre dispositivos de servicios de control industrial (ICS) que merece la pena explorar.
Implementación de seguridad propiedad de... ¿contratistas de construcción?
Los dispositivos SCADA suelen ser instalados por contratistas de edificios, que suelen ser un grupo diferente al de los grupos de TI que entienden de seguridad y de todos los riesgos que conllevan las configuraciones erróneas durante la instalación. Por ello, estos dispositivos suelen instalarse incorrectamente y se convierten en un blanco fácil para los atacantes. A los problemas de seguridad puede añadirse la forma en que el sector gestiona las actualizaciones de firmware en general, que a menudo requieren un proceso manual y un gran y complicado esfuerzo por parte de los equipos de TI y seguridad.
En el caso de BACnet y otros sistemas de control de edificios, la responsabilidad de mantener estos sistemas y garantizar que las actualizaciones de seguridad se instalan a tiempo recae normalmente en los contratistas de edificios. Puede imaginarse, entonces, con qué frecuencia pueden existir vulnerabilidades conocidas, sin parchear, en estos dispositivos, dejándolos totalmente abiertos a la explotación.
Repercusiones reales de los ataques a BACnet
Una de las razones por las que la exposición a BACnet es tan preocupante es que estos dispositivos operan sistemas críticos como los sistemas de detección de incendios, iluminación y controles HVAC dentro de los edificios comerciales, lo que significa que un ataque contra ellos podría causar algunos daños físicos graves, además de utilizar estos dispositivos para lanzar ataques contra otros sistemas de TI convencionales. Hay algunas historias bastante aterradoras sobre cómo los sistemas de control de edificios podrían ser violados, pero en lugar de fomentar esos temores, queremos centrarnos en el impacto real de los ataques que han ocurrido en la naturaleza para que podamos aprender a prevenir los futuros.
El objetivo se convierte en un blanco realmente fácil (guau, perdón) para todas y cada una de las historias de compromiso de los sistemas de control de edificios. En su caso, los atacantes entraron a través de la empresa de HVAC, pero no es descabellado sugerir que los atacantes también podrían haber accedido a través de sistemas BACnet vulnerables (otros SCADA similares). Los utilizaremos como ejemplo porque, francamente, hay muchas historias sobre peligros potenciales, pero no muchas violaciones conocidas públicamente causadas directamente por un BACnet inseguro.
Lo que ocurrió en el caso de Target es que la empresa de calefacción, ventilación y aire acondicionado estaba lo suficientemente conectada como para proporcionar a los atacantes acceso a la información financiera de la empresa y a los datos de los clientes. Así que, aunque una violación del sistema habría sido perjudicial para la marca, el interés y la atención de los medios de comunicación se debieron principalmente a los posibles problemas financieros y de privacidad de los consumidores que se derivaron de la violación.
Vamos a ver cómo encontrar estos sistemas BACnet en Internet y luego filtrarlos hasta llegar a su organización en particular para que pueda aislar todo lo que encuentre allí y luego utilizar herramientas de seguridad adicionales para mitigar el riesgo que presentan para usted o su empresa.
Sistemas BACnet expuestos y vulnerables hoy en línea
Los productos basados en BACnet más comunes en nuestros análisis son los sistemas Niagara AX y Niagara 4. Examinamos la vulnerabilidad CVE-2017-16744 h más reciente asociada a esos productos y descubrimos que más de 2000 de esos sistemas estarían afectados por esa vulnerabilidad, que permite la ejecución remota de código y tiene una calificación de 7,4 (sobre 10) en la escala de gravedad.
Es importante señalar que nuestros datos no determinan si estos sistemas están parcheados. Dado que la aplicación de parches lleva tiempo y a veces puede afectar a otros sistemas de la red de una organización, sabemos que muchos sistemas nunca reciben los parches ni se actualizan adecuadamente o, si lo hacen, a menudo tardan un tiempo en instalarse. Teniendo esto en cuenta, es probable que muchos de estos dispositivos no hayan sido remediados con este CVE.
Encontrar todos los sistemas BACnet en Censys
He aquí una búsqueda rápida en Censys para localizar los 17.000 sistemas que utilizan el protocolo BACnet, filtrados por nombre de producto. Observe que el informe desciende en número, lo que se debe a que hay algunos 2000 productos BACnet que no se nombran con fabricante y producto, por razones desconocidas. En cualquier caso, es un informe útil para explorar los productos BACnet más populares y evaluar su estado de seguridad:
https://censys.io/ipv4?q=protocols%3A+%2247808%2Fbacnet%22
En el menú desplegable junto a "Crear informe", puede seleccionar cómo desea que se muestren los datos (por ubicación, por ejemplo: más de 10.000 están en EE.UU.). El filtrado es lo más divertido (¿cómo que somos frikis?), así que le recomendamos encarecidamente que juegue con nuestra función de creación de informes mientras explora el uso del protocolo BACnet.
Para las empresas que intentan localizar sistemas BACnet desconocidos (o supervisar los conocidos), sería conveniente añadir "AND sistema_autonomo.asn:[SU NÚMERO AS]" al texto de búsqueda. Por ejemplo, para encontrar todos los dispositivos BACNet expuestos en redes universitarias (no se preocupe, hemos alertado a REN-ISAC al respecto):
https://censys.io/ipv4?q=tags%3A+%22bacnet%22+AND+autonomous_system.name%3A+%22university+of%22
Mitigación del riesgo de los dispositivos BACnet
En una historia positiva poco frecuente en nuestro sector, la Universidad Estatal de Pensilvania dejó constancia de cómo gestionan los sistemas BACnet en su organización. Reconociendo que estos servicios eran una necesidad (aunque espinosa) para su universidad, sabían que eliminarlos sin más no iba a funcionar. Así que su solución fue centrarse en la microsegmentación en lugar de redes de área local virtuales (VLAN), cortafuegos o listas de control de acceso (ACL).
Con redes universitarias extensas y complejas, esta opción funcionó para Penn State y es sin duda una opción para las empresas que dependen del sistema BACnet, pero también quieren asegurarse de que esos servidores no se conviertan en puertas de entrada a la organización para los actores maliciosos.
Acierta con lo básico:
- Asegúrese de que los sistemas BACnet se comunican en una red aislada del resto de sus sistemas. No hay ninguna razón para permitir que sus sistemas de control de edificios estén conectados a su base de datos de clientes o a sus sistemas financieros. Lo único que se consigue con ello es abrir la puerta a enormes riesgos de pérdida de datos.
- Reduzca el número de administradores que tienen plenos derechos de administración sobre estos dispositivos. Si es posible, devuelva el control de sus dispositivos BACnet al equipo de seguridad interno de su empresa, en lugar de a los contratistas con los que trabaja. Imponga una autenticación fuerte, conexiones TLS o VPN, y asegúrese de que el acceso a estos dispositivos se gestiona como lo haría con cualquier otro sistema informático de misión crítica.
- Determine qué sistemas se comunican entre sí a través del protocolo BACnet y asegúrese de que esos sistemas están protegidos con parches, configuraciones y similares actualizados.
