Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/04/2012
Backdoor en dispositivos de infraestructuras críticas, que controlan estaciones eléctricas y control de tráfico
En un mundo en el que se usan sistemas informáticos para activar conmutadores, abrir válvulas y controlar otro equipamiento dentro de las enormes subestaciones eléctricas y sistemas de comunicaciones ferroviarias, podría pensarse que los sistemas de red estarían estrechamente protegidos para prevenir ataques de vándalos. Pero para los clientes de RuggedCom, una empresa canadiense, hay una gran posibilidad de que esos dispositivos conectados a internet tengan backdoors que conviertan el acceso no autorizado en un simple ejercicio de apuntar y hacer clic.
Esto es porque el equipamiento que funciona con Rugged Operating System, de RuggedCom, tiene una cuenta no documentada que no puede ser modificada, con una contraseña que es muy facil de romper. Más aún, según los investigadores, la compañía no se ha preocupado de avisar a las empresas eléctricas, instalaciones militares, y departamentos de tráfico municipal que usan esta seguridad industrial, de que la cuenta puede permitir a los atacantes sabotear operaciones que puedan afectar a grandes poblaciones de gente.
El backdoor usa el nombre de usuario “factory”, y una contraseña que se obtiene con la mac MAC del dispositivo en cuestión en un simple script en Perl, según un post publicado el lunes en el informe detallado. Para que el acceso no autorizado sea más facil, los clientes de pago del buscador de Shodan pueden encontrar direcciones IP de más de 60 redes que usan equipamiento vulnerable. Lo primero que encuentran los usuarios al hacer telnet a esas redes es su dirección MAC.
El backdoor puede abrirse cuando los usuarios acceden a los dispositivos afectados usando telnet, una shell remota o una consola por puerto serie. La mejor defensa contra ataques que aprovechen esta vulnerabilidad sería aislar estos dispositivos totalmente de internet, y desactivando o bloqueando el acceso telnet o de shell usando firewalls o filtros de red, según Clarke.
El equipo que usa Rugged Operating System actúa como los interruptores y concentradores que conectan los controladores de lógica programable a las redes de ordenadores que se usan para enviarles comandos. Pueden estar entre el ordenador de un empleado de la red eléctrica y el controlador de tamaño de “compact disc” que abre el circuito cuando el empleado pulsa un botón en su pantalla. Para que este equipo sea más potente, Rugged Operating System utiliza los protocolos de comunicaciones Modbus y DNP3 usados nativamente para control industrial y sistemas SCADA. La marina de los Estados Unidos, el Departamento de Transporte de Wisconsin y Chevron son solo tres de los clientes que dependen de este equipo, según la web de RuggedCom.
Los representantes de RuggedCom no han querido hacer comentarios.
Artículo completo (en inglés)