Impacto mundial (en el momento de la difusión)
- 580 PLCs Unitronics expuestos públicamente
Principales países afectados:
1. EE.UU.
2. Bélgica
3. Australia
4. Países Bajos
5. Israel
Resumen
A la luz de la escalada de tensiones en medio de la reciente represalia de Irán contra Israel el sábado 11 de abril de 2024, Censys recomienda encarecidamente a las organizaciones que tomen medidas proactivas para prepararse para posibles repercusiones cibernéticas. Esto es especialmente importante en el caso de los dispositivos de sistemas de control industrial, como los controladores lógicos programables (PLC) de Unitronics, que ya han sido atacados en Estados Unidos por grupos iraníes.
El pasado noviembre, CISA emitió una alerta sobre la explotación de PLCs Unitronics de fabricación israelí expuestos públicamente en redes de sistemas de agua de EE.UU. por el grupo iraní APT "CyberAv3ngers". El grupo de amenazas aprovechó contraseñas débiles y predeterminadas para hacerse con el control de los dispositivos de la Autoridad del Agua de Aliquippa e interferir en las operaciones.
El 18 de marzo de 2024, Unitronics parcheó ocho nuevas vulnerabilidades en PLCs Unistream que afectaban a todas las versiones anteriores a la 1.35.227, y que iban de gravedad alta a crítica.
Descripción de activos
Los PLC son interfaces de red para la tecnología operativa (OT) y las operaciones físicas que pueden controlar cuándo comienzan o terminan las operaciones. Como se puso de manifiesto en el pirateo del agua de Aliquippa, la dependencia de las infraestructuras críticas de la OT a menudo implica depender de los PLC. Estas operaciones físicas y OT se utilizan a menudo para controlar y supervisar los procesos industriales a gran escala que apoyan a las comunidades. Es una práctica de seguridad generalmente aceptada asegurarse de que estos PLC no son directamente accesibles en la Internet pública y las organizaciones deben dar prioridad a las medidas de seguridad para evitar esta y otras interferencias PLC.
Impacto
Consecuencias potenciales del éxito de la explotación
Localizar PLC expuestos en Internet es sencillo para los actores de amenazas, y explotar las contraseñas predeterminadas es igual de fácil.
En cuanto a las vulnerabilidades de marzo recientemente reveladas, según el equipo que las descubriólas ocho vulnerabilidades "podrían permitir a un atacante eludir las funciones nativas de autenticación y autorización del producto, y pueden encadenarse para obtener la ejecución remota de código". En otras palabras, estas vulnerabilidades pueden haber sido suficientes para que los atacantes se hicieran con los PLC de Unitronics una vez más.
En los ataques al sector del agua y las aguas residuales, las posibles consecuencias de la interrupción de las operaciones debido a los compromisos en la dependencia de las instalaciones de los PLC, podrían haber puesto en peligro la capacidad de las instalaciones de agua para suministrar agua limpia y gestionar los residuos, perturbando así vidas.
Activos afectados
Según el descubridor, Claroty, estas vulnerabilidades afectan a todos los PLC Unitronics anteriores a la versión 1.35.227.
CensysElequipo de respuesta rápida de ASM pudo identificar los PLC Unistream de Unitronics expuestos. A continuación se presentan métodos para que los clientes de Censys ASM localicen cualquier PLC Unitronics expuesto en sus entornos; para versiones específicas, Censys recomienda a los propietarios que investiguen estos activos directamente. Sin embargo, debe tenerse en cuenta que es aconsejable que cualquier PLC expuesto públicamente se elimine de Internet.
Censys Nombre de riesgo ASM para dispositivos potencialmente vulnerables
"PLC UniStream de Unitronics expuesto"
La consulta anterior encontrará PLCs Unitronics Unistream expuestos asociados con su organización en su espacio de trabajo ASM en aproximadamente 24 horas.
Censys Consulta ASM para activos expuestos.
Esta consulta se comparte para los clientes que desean refinar o alterar el versionado para operaciones personalizadas.
Censys Consultas de búsqueda
se comparten directamente con los clientes de Censys . Si desea obtener la consulta Censys para identificar instancias globales relacionadas con este problema, o necesita ayuda, póngase en contacto con nosotros.
Recomendaciones
Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.