Westermo EDW-100 | CISA
1. RESUMEN EJECUTIVO
- CVSS v3 9.8
- ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
- Proveedor: Westermo
- Equipo: EDW-100
- Vulnerabilidades: Uso de contraseña codificada, credenciales insuficientemente protegidas
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de estas vulnerabilidades podría permitir a un atacante acceder al dispositivo utilizando credenciales codificadas y descargar nombres de usuario y contraseñas en texto sin cifrar.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Las siguientes versiones de Westermo EDW-100, un convertidor de serie a Ethernet, se ven afectadas:
3.2 Descripción general de la vulnerabilidad
3.2.1 Uso de contraseña codificada CWE-259
Westermo EDW-100 tiene una cuenta de administrador oculta con una contraseña codificada. En el paquete de firmware, en «image.bin», el nombre de usuario raíz y la contraseña de esta cuenta están codificados y expuestos como cadenas que pueden extraerse trivialmente. Actualmente no hay forma de cambiar esta contraseña.
CVE-2024-36080 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9,8; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-36080. Se ha calculado una puntuación base de 9,3; la cadena del vector CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.2.2 Credenciales insuficientemente protegidas CWE-522
Westermo EDW-100 permite una solicitud GET no autenticada que puede descargar el archivo de configuración que contiene la configuración, el nombre de usuario y las contraseñas en texto sin cifrar.
CVE-2024-36081 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9,8; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-36081. Se ha calculado una puntuación base de 9,3; la cadena del vector CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA: Sistemas de Energía, Agua y Aguas Residuales, Sistemas de Transporte
- PAÍSES/ÁREAS DESPLEGADAS: Mundial
- UBICACIÓN DE LA SEDE DE LA EMPRESA: Suecia
3.4 INVESTIGADOR
Nicolai Grødum y Sofia Lindqvist de PwC Noruega informaron estas vulnerabilidades a CISA.
4. MITIGACIONES
Para mitigar los riesgos asociados con estas vulnerabilidades, Westermo recomienda:
Segregación de red, protección perimetral, protección de red a red y medidas de seguridad física. EDW-100 funciona como un convertidor industrial de serie a ethernet. Esto significa que el EDW-100 en sí mismo no tiene ninguna de las medidas de protección que requiere una postura de seguridad moderna; el EDW-100 no debe colocarse en el borde de la red, sino implementarse utilizando las técnicas mencionadas en el estándar IEC 62443.
Esto significa el uso de segregación de red y protección perimetral que se puede lograr, por ejemplo, implementando un firewall y el uso de VLAN.
Si es necesario que los datos entren o salgan de la zona de seguridad que contiene EDW-100, es importante tener habilitada la protección de red a red que, por ejemplo, se puede aplicar con una red privada virtual (VPN).
También es fundamental contar con medidas de seguridad física, ya que la unidad puede ser vulnerable a ataques físicos y manipulaciones. Una recomendación para mitigar este riesgo es colocar la unidad en un recinto separado con cerraduras y alarmas si se abrió fuera del mantenimiento normal.
Si bien las características de diseño de la unidad pueden requerir precauciones adicionales, la implementación de las contramedidas sugeridas garantiza un despliegue seguro que aborde eficazmente los riesgos asociados.
Westermo recomienda reemplazar EDW-100 con Lynx DSS L105-S1. Para mayor referencia ver Conmutador de servidor de dispositivos industriales administrado de 5 puertos | L105-S1 ᐈ Westermo.
CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
- Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
- Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.
CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.
Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.
Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.
5. ACTUALIZAR HISTORIAL
- 30 de mayo de 2024: Publicación inicial