Vulnerabilidades en los sistemas SCADA

Publicado por Marcos Fernández el día 25.1.12


En el 2012 SCADA Security Scientific Symposium, celebrado la semana pasada, se mostraron varias pruebas de concepto de exploits para diversas vulnerabilidades en productos de SCADA. Los investigadores mostraron fallos para los que todavía no existen parches de seguridad. Todos ellos presentes en el software utilizado para el control de sistemas críticos de la industria de petróleo, gas, agua y plantas de distribución eléctrica.


Las vulnerabilidades van desde la divulgación de información y errores de escaladado de privilegios, hasta el control remoto, la de denegación de servicio (DoS) y la ejecución de código arbitrario.

El equipo de investigación, que incluyó Reid Wightman, Beresford Dillon, Kitchel Jacob, Rubén Santamarta y otros dos investigadores que optaron por permanecer en el anonimato, ha trabajado como parte de un proyecto llamado Basecamp de que fue patrocinado por la empresa de sistemas de control de seguridad Digital Bond.

Los proveedores afectados no fueron notificados con anticipación sobre las vulnerabilidades descubiertas y las hazañas de prueba de concepto exhibido en S4 se están integrando en el marco de pruebas de penetración Metasploit populares.

Los investigadores que han participado esperan que esta demostración suponga un punto de inflexión para que la industria reaccione ante los grandes retos en materia de seguridad que actualmente se nos presentan el el día a día. Algo parecido a lo que supuso en su día la extensión Firesheep para Firefox, que puede secuestrar las cuentas online de las personas cuando utilizan redes inalámbricas abiertas.  La cual ha forzado a los principales proveedores de servicios en línea como Google, Facebook, Twitter y Hotmail para añadir soporte para conexiones persistentes HTTPS.


El Basecamp Proyect espera para desencadenar una reacción similar de los proveedores de sistemas  SCADA (control supervisor y adquisición de datos) los desarrolladores de software, cuyos productos han sido ampliamente ignorados por la comunidad de investigación de seguridad hasta la aparición de Stuxnet en el año 2010.

Stuxnet, que es considerado por muchos como el malware más sofisticado de todos los tiempos, los defectos explotados en software SCADA de Siemens con el fin de inyectar código malicioso en el PLC para controlar el uranio centrifugadoras de enriquecimiento de Natanz en las instalaciones nucleares de Irán.

"Durante mucho tiempo este tipo de software [SCADA] ha actuado " bajo el radar ", dijo Rubén Santamarta, uno de los colaboradores del proyecto Basecamp. "Pero últimamente algunos investigadores se han ocupado dirigidos los productos ICS y como consecuencia decenas de vulnerabilidades surgió en una ventana de tiempo relativamente corto".

"Ha sido un 'shock' para el sector industrial, no estoy seguro de si estan realmente preparado para hacer frente a ese escenario", dijo Santamarta. "Como ejemplo, debemos darnos cuenta de que probablemente sus clientes no pedían la seguridad tampoco."

Muchos de los problemas de seguridad descubierto por el Basecamp Proyect, tienen características no documentadas que pueden ser utilizadas indebidamente para fines maliciosos.



"No es raro ver a un software industrial que utiliza las cuentas codificadas o servicios que se ven casi como puertas traseras", dijo Luigi Auriemma, un investigador de seguridad independiente que se identificaron problemas de vulnerabilidad y SCADA. Cuando estas características se encuentran, la mayoría de las veces la única solución es eliminarlos, dijo.

Sin embargo, un enfoque más proactivo de seguridad como tomar en cuenta al diseñar estos productos SCADA en primer lugar, es necesario. "Tomará tiempo, pero creo firmemente que la seguridad será visto como una clave fundamental, así como un valor añadido para cualquier dispositivo industrial en un futuro próximo", dijo Santamarta.

ICS-CERT ha publicado avisos para muchas vulnerabilidades divulgadas por el Basecamp Proyect, y el enlace digital ha trabajado con defendible para crear plugins de detección para el escáner de vulnerabilidades Nessus.