Surgiram informações sobre múltiplas vulnerabilidades de segurança em duas implementações do protocolo Manufacturing Message Specification (MMS) que, se exploradas com sucesso, poderiam ter um sério impacto em ambientes industriais.
“A vulnerabilidade pode permitir que um invasor trave um dispositivo industrial ou, em alguns casos, permitir a execução remota de código”, disseram os pesquisadores da Claroty, Mashav Sapir e Vera Mens, em uma nova análise.
MMS é um protocolo da camada de mensagens OSI que permite o controle remoto e o monitoramento de dispositivos industriais, trocando informações de controle de monitoramento na forma de um aplicativo.
Especificamente, permite a comunicação entre dispositivos eletrônicos inteligentes (IEDs) e sistemas de controle de supervisão e aquisição de dados (SCADA) ou controladores lógicos programáveis (CLPs).
Cinco bugs identificados pela empresa de tecnologia de segurança afetam a biblioteca libIEC61850 da MZ Automation e a biblioteca TMW IEC 61850 da Triangle MicroWorks, e foram corrigidos em setembro e outubro de 2022 após a divulgação adequada –
- CVE-2022-2970 (pontuação CVSS: 10,0) – Uma vulnerabilidade de buffer overflow baseada em pilha na libIEC61850 que pode levar a uma falha ou execução remota de código
- CVE-2022-2971 (Pontuação CVSS: 8,6) – Uma vulnerabilidade de ofuscação na libIEC61850 que pode permitir que um invasor trave um servidor com uma carga maliciosa
- CVE-2022-2972 (pontuação CVSS: 10,0) – Uma vulnerabilidade de buffer overflow baseada em pilha na libIEC61850 que pode levar a uma falha ou execução remota de código
- CVE-2022-2973 (pontuação CVSS: 8,6) – Uma vulnerabilidade de deferência de ponteiro nulo pode permitir que um invasor trave o servidor
- CVE-2022-38138 (Pontuação CVSS:7,5) – Acesso a uma vulnerabilidade de ponteiro não inicializado que permite que um invasor cause uma situação de negação de serviço (DoS).
A análise da Claroty também descobriu que o IED SIPROTEC 5 da Siemens depende de uma versão mais antiga da pilha SISCO MMS-EASE para suportar MMS, que é vulnerável a um cenário DoS por meio de um pacote especialmente criado (CVE-2015-6574, pontuação de CVSS: 7,5 ).
Desde então, a empresa alemã atualizou seu firmware com uma versão atualizada da pilha de protocolos a partir de dezembro de 2022, de acordo com um comunicado emitido pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).
O estudo destaca “a lacuna entre os requisitos de segurança da tecnologia moderna e os protocolos desatualizados, que são difíceis de mudar”, disse Claroty, instando os fornecedores a seguirem as diretrizes de segurança emitidas pela CISA.
Esta divulgação ocorre algumas semanas depois que a Nozomi Networks descreveu duas vulnerabilidades na implementação de referência do protocolo sem fio ESP-NOW da Espressif (CVE-2024-42483 e CVE-2024-42484) que poderia permitir ataques de repetição e causar uma situação DoS.
“Dependendo do programa a que se destina, isso está em risco [CVE-2024-42483] pode ter efeitos profundos “, disse ele. “O ESP-NOW é usado em sistemas de segurança, como alarmes de edifícios, que permitem que eles se comuniquem com sensores de movimento.”
“Nesse caso, um invasor pode usar esta vulnerabilidade para reproduzir um comando ‘OFF’ legítimo capturado anteriormente e desativar o sensor de movimento à vontade.”
Alternativamente, o uso de abridores de portas remotos ESP-NOW, como portões automáticos e portas de garagem, pode ser usado para interromper o comando “ABRIR” e reproduzi-lo mais tarde para obter acesso não autorizado aos edifícios.
Em agosto, a Nozomi Networks trouxe à luz um conjunto de 37 vulnerabilidades não corrigidas na biblioteca de isolamento OpenFlow libfluid_msg, chamada coletivamente de FluidFaults, que um adversário poderia explorar para travar aplicativos de rede definida por software (SDN).
“Um invasor que aparece na rede para um controlador/encaminhador OpenFlow pode enviar um pacote de rede OpenFlow malicioso que leva a um ataque de negação de serviço (DoS)”, disse a empresa.
Nos últimos meses, também foram descobertas falhas de segurança no sistema operacional TwinCAT/BSD da Beckhoff Automation que podem expor os CLPs a adulterações lógicas, ataques DoS e até mesmo execução de comandos com privilégios de root no controlador.
