Censys se toma en serio su misión de ser un buen administrador de Internet. Estamos contactando activamente con las organizaciones que hemos determinado que podrían verse afectadas por los siguientes hallazgos. Como parte de nuestro deber de diligencia, todas las investigaciones de Censys se llevan a cabo y se comparten dando prioridad a la seguridad pública. Esto significa que ocultamos información muy sensible en nuestros informes públicos y que nunca mencionamos organizaciones que podrían verse afectadas negativamente por nuestros resultados.
Introducción
Los sistemas de control industrial (ICS) son una parte vital de las infraestructuras críticas, responsables de regular la energía, el agua y otros recursos esenciales suministrados a los municipios. Dados los servicios esenciales que facilitan, es increíblemente importante que estos sistemas funcionen sin ninguna interrupción del servicio.
Como tales, estos dispositivos y sistemas son objetivos cada vez más atractivos para los actores de amenazas, en particular los respaldados por el Estado, que buscan causar el caos o sentar las bases para futuros ataques estratégicos. Como pone de relieve la nueva investigación de Censys sobre los ICS del agua y otros dispositivos de tecnología operativa (OT), algunos dispositivos conectados a Internet están facilitando demasiado la acción de los adversarios. Estos ICS vulnerables reflejan problemas de seguridad más amplios a los que se enfrentan los sistemas de infraestructuras críticas conectados a Internet en todo Estados Unidos.
La Autoridad Municipal del Agua de Aliquippa Hack
El 25 de noviembre de 2023, la Autoridad Municipal del Agua de Aliquippa (Pensilvania) descubrió que un grupo de piratas informáticos afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC ) había puesto en peligro su seguridad. El grupo, conocido como CyberAv3ngers, tomó el control de un sistema de control y regulación de la presión del agua en una estación de bombeo remota, desfigurando la interfaz del sistema con un mensaje anti-Israel. Según el aviso de CISA, "los autores de la amenaza comprometieron PLCs de la serie Vision de Unitronics con interfaces hombre-máquina (HMI). Estos dispositivos comprometidos fueron expuestos públicamente a Internet con contraseñas predeterminadas y por defecto están en el puerto TCP 20256". Los CyberAv3ngers comenzaron a atacar PLCs Unitronics de fabricación israelí a raíz del conflicto en la región, reivindicando la responsabilidad de múltiples ataques contra dispositivos Unitronics en todo el mundo.
Captura de pantalla de un dispositivo afectado a través de VNC
Aunque la recuperación del ataque en Aliquippa requirió trabajo manual por parte de los empleados de la Water Authority, no se informó de que hubiera ningún efecto en el servicio o la calidad del agua de los clientes. Sin embargo, las implicaciones de un ataque de este tipo son enormes, sobre todo teniendo en cuenta cuántos de estos y otros dispositivos ICS están expuestos a la Internet pública.
Dado el impacto potencial, Censys se propuso identificar otros dispositivos y servicios de Unitronics expuestos asociados a sistemas de agua, aguas residuales y energía en Estados Unidos.
Exposiciones Unitronics
Datos de 2024-01-25; Naranja: Dispositivos reales; Azul: Sospechas de honeypots
Censys observó un total de 149 dispositivos y servicios de Unitronics expuestos a Internet en Estados Unidos, que ejecutaban una combinación de lo siguiente:
- 39 Servicios PCOM
- 94 puntos finales de API
- 96 Paneles de administración web
- 95 con VNC expuesto, 3 de los cuales no requerían autenticación
La mayoría de estos PLC expuestos a internet son dispositivos remotos conectados a través de LTE o 5G. Aunque en algunos casos puede ser razonable que estos dispositivos estén conectados a Internet, siempre deben estar protegidos por una red privada virtual (VPN) o detrás de un cortafuegos con acceso restringido.
CISA ha aconsejado que las organizaciones desconecten estos dispositivos de Internet. Sin embargo, si se requiere acceso remoto, CISA establece que los administradores deben:
" Implemente un cortafuegos/VPN delante del PLC para controlar el acceso de red al PLC remoto. Un dispositivo VPN o pasarela puede permitir la autenticación multifactor para el acceso remoto, incluso si el PLC no admite la autenticación multifactor. Unitronics también tiene un dispositivo de transporte de larga distancia seguro basado en celulares que es seguro para sus servicios en la nube."
Al evaluar estos dispositivos y servicios de Unitronics, vemos que se enfrentan a problemas en múltiples direcciones: protocolos expuestos, paneles de control web expuestos y VNC expuesto.
Exposiciones del protocolo PCOM
PCOM es un protocolo propietario de Unitronics que permite a las aplicaciones interactuar con dispositivos PLC. Mediante la interacción con el protocolo PCOM se puede obtener información como el nombre del modelo del dispositivo, la versión de hardware, el número de compilación del sistema operativo y el número de versión del sistema operativo. Un actor de amenazas podría utilizar este protocolo para consultar valores relacionados con el proceso y las entradas y salidas subyacentes, que podrían utilizarse para cambiar la configuración del dispositivo o interrumpir por completo las operaciones del PLC.
¿Peligros o nidos de abeja?
La buena noticia es que muchos de los servicios PCOM expuestos que observamos en Estados Unidos parecen ser honeypots, es decir, servidores ficticios utilizados para imitar hosts de Internet reales. De hecho, evaluamos que sólo el 32% de los servicios PCOM en EE.UU. son dispositivos reales. El hecho de que haya tantos honeypots no es necesariamente inesperado, ya que es probable que los investigadores estén intentando recopilar más información a raíz de los recientes ataques. Sin embargo, es un poco sorprendente que tantos del número total de servicios PCOM que vemos parezcan ser honeypots.
Las contraseñas de los paneles son un problema
Los paneles de control web Unitronics PLC están programados con una contraseña por defecto "1111". Las contraseñas por defecto son un riesgo de seguridad inherente, y CISA publicó recientemente un aviso instando a las organizaciones a dejar de usarlas. Sorprendentemente, muchas de las credenciales por defecto de estos paneles de control web nunca fueron cambiadas por sus administradores de sistemas. Dado que estos dispositivos también están expuestos a la Internet pública, esta escasa seguridad de las contraseñas presenta un riesgo de seguridad particularmente atroz.
VNC: superficie de ataque adicional
Los PLC Unitronics también permiten el acceso remoto a la interfaz hombre-máquina (HMI) a través de VNC. Como mejor práctica, VNC no debe estar expuesto a la Internet pública y siempre debe requerir autenticación. Un VNC expuesto, especialmente cuando se combina con contraseñas débiles o inexistentes, proporciona a los actores de amenazas medios para causar daños o interrumpir operaciones de forma trivial.
Otras exposiciones OT
Datos de 2024-01-25; servicios S7, DNP3, CODESYS, PCOM e IEC 60870-5-104 observados en EE.UU.
Estas exposiciones problemáticas van más allá de los servicios y dispositivos de agua y Unitronics. Censys también observó que las exposiciones estaban presentes en una serie de otros servicios OT orientados a Internet relacionados con sectores de infraestructuras críticas, como la energía.
Censys observaron las siguientes exposiciones a través de una selección de protocolos de OT:
Aunque estos dispositivos son de uso público, determinar quién es su propietario puede resultar complicado. Esto se debe a que muchos de estos dispositivos funcionan con routers móviles LTE/5G en redes móviles, que ocultan detalles sobre la propiedad del dispositivo.
Sin embargo, Censys pudo determinar la propiedad de varios de los dispositivos expuestos, y hasta la fecha ha notificado a más de 20 organizaciones su riesgo de exposición.
La cuestión más amplia
Los riesgos que hemos observado en los servicios y dispositivos de Unitronics y otros sistemas de OT contribuyen a un debate más amplio sobre el estado de la seguridad de las infraestructuras críticas en Estados Unidos. Muchos dispositivos de infraestructuras críticas están simplemente "en" Internet y, sin las medidas adecuadas, pueden convertirse en fáciles puntos de entrada para grupos de Estados-nación y otros adversarios que buscan hacer daño.
En una reciente audiencia del Comité Selecto de la Cámara de Representantes, el director del FBI, Christopher Wray, advirtió de que piratas informáticos respaldados por el gobierno chino están atacando plantas de tratamiento de agua, infraestructuras eléctricas y oleoductos y gasoductos. Durante esta misma audiencia, el director de CISA, Jen Easterly, señaló los fallos básicos de la tecnología de infraestructuras críticas, diciendo a los legisladores que "por desgracia, la tecnología que sustenta nuestras infraestructuras críticas es intrínsecamente insegura debido a décadas en las que los desarrolladores de software no han sido considerados responsables de la tecnología defectuosa. Esto ha dado lugar a incentivos en los que se ha dado prioridad a las prestaciones y a la rapidez de comercialización frente a la seguridad, lo que ha hecho a nuestra nación vulnerable a la ciberinvasión. Esto tiene que acabar".
Los fallos de seguridad de la tecnología son sólo una parte del problema. Las lagunas en las competencias de los administradores plantean otro problema. Muchas administraciones locales y municipales pequeñas trabajan con equipos increíblemente reducidos y carecen de personal especializado en TI. Como resultado, los servicios vinculados a infraestructuras críticas están siendo desplegados por equipos de OT sin los conocimientos de seguridad necesarios para aplicar los controles adecuados. La prevalencia de contraseñas por defecto en los paneles de control web de Unitronics es un buen ejemplo de ello.
Estos retos invitan a los legisladores y responsables de todos los niveles de gobierno a estudiar formas de regular y salvaguardar mejor los dispositivos.
Para ver las exposiciones a ICS en su región o en su rango de IP, puede dirigirse a Censys Search y comenzar con la siguiente consulta: labels: ics