Interfaz de secuencias de comandos Hitachi Energy RTU500
1. RESUMEN EJECUTIVO
- CVSS v3 7.4
- ATENCIÓN: Explotable remotamente
- Proveedor: Energía Hitachi
- Equipo: Interfaz de secuencias de comandos RTU500
- Vulnerabilidad: Validación de certificado incorrecta
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de esta vulnerabilidad podría permitir a los atacantes falsificar la identidad del servicio.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Los siguientes productos de Hitachi Energy se ven afectados:
- Interfaz de secuencias de comandos RTU500: Versión 1.0.1.30
- Interfaz de secuencias de comandos RTU500: Versión 1.0.2
- Interfaz de secuencias de comandos RTU500: Versión 1.1.1
- Interfaz de secuencias de comandos RTU500: Versión 1.2.1
- Interfaz de secuencias de comandos RTU500: todas las versiones
3.2 Descripción general de la vulnerabilidad
3.2.1 VALIDACIÓN DE CERTIFICADO INADECUADA CWE-295
Hitachi Energy tiene conocimiento de una vulnerabilidad reportada en la interfaz de secuencias de comandos RTU500. Cuando un cliente se conecta a un servidor mediante TLS, el servidor presenta un certificado. Este certificado vincula una clave pública a la identidad del servicio y está firmado por una autoridad de certificación (CA), lo que permite al cliente validar que se puede confiar en el servicio remoto y que no es malicioso. Si el cliente no valida los parámetros del certificado, los atacantes podrían falsificar la identidad del servicio.
CVE-2023-1514 ha sido asignado a esta vulnerabilidad. Se ha asignado una puntuación base CVSS v3 de 7,4; la cadena del vector CVSS es (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N).
3.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA: Sistemas de energía, agua y aguas residuales
- PAÍSES/ÁREAS DESPLEGADAS: Mundial
- UBICACIÓN DE LA SEDE DE LA EMPRESA: Suiza
3.4 INVESTIGADOR
Hitachi Energy PSIRT informó esta vulnerabilidad a CISA.
4. MITIGACIONES
Hitachi Energy ha identificado las siguientes soluciones y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo:
- Interfaz de secuencias de comandos RTU500 Versión 1.0.1.30, Interfaz de secuencias de comandos RTU500 Versión 1.0.2, Interfaz de secuencias de comandos RTU500 Versión 1.1.1: Actualización a la interfaz de secuencias de comandos RTU500 Versión 1.2.1
- Interfaz de secuencias de comandos RTU500 Todas las versiones: Hitachi Energy recomienda que los usuarios sigan la «Pauta de implementación de seguridad de unidades terminales remotas», así como que apliquen mitigaciones como se describe en la sección Factores de mitigación/soluciones alternativas.
Hitachi Energy recomienda las siguientes prácticas de seguridad y configuraciones de firewall para ayudar a proteger una red de control de procesos de ataques que se originan desde fuera de la red:
- Proteger físicamente del acceso directo de personal no autorizado.
- No conectarse directamente a Internet
- Separarse de otras redes mediante un sistema de firewall que tenga un número mínimo de puertos expuestos.
- Los sistemas de control de procesos no deben usarse para navegar por Internet, enviar mensajes instantáneos o recibir correos electrónicos.
- Las computadoras portátiles y los medios de almacenamiento extraíbles deben escanearse cuidadosamente en busca de virus antes de conectarlos a un sistema de control.
Para obtener más información, consulte el Aviso de ciberseguridad de Hitachi Energy. «Validación de certificado incorrecta en el producto de la serie RTU500 de Hitachi Energy»
CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.
Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.
Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a esta vulnerabilidad. Esta vulnerabilidad tiene una alta complejidad de ataque.
5. ACTUALIZAR HISTORIAL
- 26 de noviembre de 2024: Publicación inicial