Estación FoxRTU de Schneider Electric | CISA

diciembre 11, 2024

Ver CSAF

1. RESUMEN EJECUTIVO

CVSS v3 7.3
ATENCIÓN: Baja complejidad de ataque
Proveedor: Schneider Electric
Equipo: Estación FoxRTU
Vulnerabilidad: Limitación inadecuada de un nombre de ruta a un directorio restringido («Path Traversal»)

2. EVALUACIÓN DE RIESGOS

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante realizar la ejecución remota de código.

3. DETALLES TÉCNICOS

3.1 PRODUCTOS AFECTADOS

Schneider Electric informa que los siguientes productos se ven afectados:

3.2 DESCRIPCIÓN GENERAL DE LA VULNERABILIDAD

3.2.1 LIMITACIÓN INCORRECTA DE UNA RUTA A UN DIRECTORIO RESTRINGIDO (‘RUTA RECORRIDA’) CWE-22

CWE-22: Existe una vulnerabilidad de limitación inadecuada de un nombre de ruta a un directorio restringido («Path Traversal») que podría provocar la ejecución remota de código cuando un usuario autenticado ejecuta un archivo de proyecto guardado que ha sido manipulado por un actor malintencionado.

CVE-2024-2602 ha sido asignado a esta vulnerabilidad. Se ha asignado una puntuación base CVSS v3 de 7,3; la cadena del vector CVSS es (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H).

3.3 ANTECEDENTES

SECTORES DE INFRAESTRUCTURA CRÍTICA: Manufactura Crítica, Energía, Agua y Aguas Residuales, Química
PAÍSES/ÁREAS DESPLEGADAS: Mundial
UBICACIÓN DE LA SEDE DE LA EMPRESA: Francia

3.4 INVESTIGADOR

Anooja Joy, Sushant Mane y el Dr. Faruk Kazi del CoE-CNDS Lab informaron de esta vulnerabilidad a Schneider Electric.

4. MITIGACIONES

Schneider Electric ha identificado las siguientes soluciones y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo:

La versión 9.3.0 de FoxRTU Station incluye una solución para esta vulnerabilidad.

Los usuarios deben comunicarse con el representante de servicio local o con el centro de atención al cliente global de Schneider Electric Process Automation para obtener información sobre cómo descargar e instalar esta solución: Automatización de Procesos | Atención al cliente global.

Saber más HUB advierte sobre campañas activas dirigidas al fraude financiero y el robo de datos

Los usuarios pueden seguir las instrucciones del Capítulo 12 de la Guía del usuario B0780AE rev. P, «Seguridad: Proteger un proyecto» para cifrar y proteger con contraseña los archivos del proyecto.

Los usuarios deben seguir metodologías de parcheo adecuadas al aplicar estos parches a sus sistemas. Schneider Electric recomienda el uso de copias de seguridad y la evaluación del impacto de estos parches en un entorno de prueba y desarrollo o en una infraestructura fuera de línea. Póngase en contacto con el Centro de atención al cliente de Schneider Electric si necesita ayuda para retirar un parche.

Si los usuarios deciden no aplicar la solución proporcionada anteriormente, deben implementar inmediatamente las siguientes mitigaciones para reducir el riesgo de explotación:

Como la vulnerabilidad identificada requiere acceso de escritura de archivos en la máquina en la que está instalado FoxRTU Station, se deben implementar restricciones de control de acceso al sistema de archivos adecuadas para evitar que usuarios no autorizados editen archivos de proyecto de FoxRTU Station o coloquen archivos DLL maliciosos en directorios accesibles.
Guarde los archivos del proyecto en un almacenamiento seguro y restrinja el acceso solo a usuarios confiables
Al intercambiar archivos a través de la red, utilice protocolos de comunicación seguros.
Cifre los archivos del proyecto cuando estén almacenados
Abra solo archivos de proyecto recibidos de una fuente confiable
Calcule un hash de los archivos del proyecto y verifique periódicamente la coherencia de este hash para verificar la integridad antes de su uso.
Siga las pautas de protección de estaciones de trabajo, redes y sitios en las Mejores prácticas recomendadas de ciberseguridad disponibles [here]
Para asegurarse de estar informado de todas las actualizaciones, incluidos los detalles sobre los productos afectados y los planes de solución, suscríbase al servicio de notificaciones de seguridad de Schneider Electric. [here]

Saber más ICS Security Conference 2024 - JPCERT/CC Eyes

CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad, tales como:

Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN). Reconozca que las VPN pueden tener vulnerabilidades, deben actualizarse a la versión más reciente disponible y son tan seguras como los dispositivos conectados.

CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.

CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.

Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.

Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.

CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social:

Saber más Concurso de proyectos IC&DT: IA, ciencia de datos y ciberseguridad relevantes en AP

Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a esta vulnerabilidad. Esta vulnerabilidad no se puede explotar de forma remota.

5. ACTUALIZAR HISTORIAL

10 de diciembre de 2024: Publicación inicial

Source link