La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó la semana pasada un aviso de sistema de control industrial ( ICS ) relacionado con múltiples vulnerabilidades que afectan a los relés de protección de media tensión Easergy de Schneider Electric.
«La explotación exitosa de estas vulnerabilidades puede revelar las credenciales del dispositivo, provocar una condición de denegación de servicio, reiniciar el dispositivo o permitir que un atacante obtenga el control total del relé», dijo la agencia en un boletín el 24 de febrero de 2022. «Esto podría resultar en la pérdida de protección de su red eléctrica».
Las dos debilidades de alta gravedad afectan las versiones de Easergy P3 anteriores a la v30.205 y las versiones de Easergy P5 anteriores a la v01.401.101. Los detalles de los defectos son los siguientes:
- CVE-2022-22722 (puntuación CVSS: 7,5): uso de credenciales codificadas de las que se podría abusar para observar y manipular el tráfico asociado con el dispositivo.
- CVE-2022-22723 y CVE-2022-22725 (puntaje CVSS: 8.8): una vulnerabilidad de desbordamiento de búfer que podría provocar bloqueos del programa y la ejecución de código arbitrario al enviar paquetes especialmente diseñados al relé a través de la red.
Schneider Electric abordó las fallas, que fueron descubiertas e informadas por los investigadores Timothée Chauvin, Paul Noalhyt, Yuanshe Wu en Red Balloon Security, como parte de las actualizaciones enviadas el 11 de enero de 2022.
El aviso llega menos de 10 días después de que CISA emitiera otra alerta de múltiples vulnerabilidades críticas en el Sistema SCADA Gráfico Interactivo ( IGSS ) de Schneider Electric que, si se explota con éxito, podría resultar en «divulgación de datos y pérdida de control del sistema SCADA con IGSS». ejecutándose en modo de producción».
En noticias relacionadas, la agencia federal de EE. UU. también hizo sonar la alarma relacionada con el software Proficy CIMPLICITY SCADA de General Electric , advirtiendo sobre dos vulnerabilidades de seguridad que podrían abusarse para revelar información confidencial, lograr la ejecución de código y escalar privilegios locales.
Los avisos siguen a un informe Year In Review de la empresa de ciberseguridad industrial Dragos, que encontró que el 24 % del total de 1703 vulnerabilidades ICS/OT informadas en 2021 no tenían parches disponibles, de las cuales el 19 % no tenía mitigación, lo que impedía que los operadores tomaran medidas. para salvaguardar sus sistemas de amenazas potenciales.
Además, Dragos identificó actividad maliciosa de tres nuevos grupos que se encontraron apuntando a los sistemas ICS el año pasado, incluidos los de los actores que rastrea como Kostovite, Erythrite y Petrovite, cada uno de los cuales se dirigió a los entornos OT de energía renovable, servicios públicos eléctricos y minería. y empresas de energía ubicadas en Canadá, Kazajstán y EE. UU.