Introducción
La empresa de automatización alemana Festo fue informada por los investigadores Daniel dos Santos y Rob Hulsebos de Forescout de varias vulnerabilidades, dos de ellas críticas, sobre un posible acceso sin autenticación que permitiría el uso de protocolos no documentados y el acceso a archivos de configuración.
Análisis
Las dos vulnerabilidades de severidad crítica asociadas a todas las versiones de los productos afectados son las siguientes:
CVE-2022-31806 [1]: Inicialización insegura por defecto del recurso (CWE-1188)
La protección por contraseña no está activada por defecto y no hay información o aviso para activar la protección por contraseña en el inicio de sesión en caso de que no se establezca una contraseña en el controlador
CVE-2022-3270 [2]: Documentación técnica insuficiente (CWE-1059)
El producto no contiene suficiente documentación técnica o de ingeniería (ya sea en papel o en formato electrónico) que contenga descripciones de todos los elementos de software/hardware relevantes del producto, como su uso, estructura, componentes arquitectónicos, interfaces, diseño, implementación, configuración, funcionamiento, etc.
En varios productos de Festo, un atacante remoto no autentificado podría utilizar funciones de protocolos no documentados que podrían conducir a una pérdida completa de la confidencialidad, integridad y disponibilidad.
Todas las versiones de los productos mencionados a continuación:
- Sistemas de cámara.
- Interfaces Ethernet/IP.
- Pasarelas.
- Controladores de motores.
- Servoaccionamientos.
- Sistemas de visión.
- Bloques de control.
- Controladores.
- Unidades de operadores.
- Módulos de bus.
- Nodos de bus.
- Unidades integradas.
- Unidades de operadores.
- Planar surface gantry.
Los modelos específicos de cada producto se pueden consultar en los enlaces de las referencias.
Recomendaciones
Para CVE-2022-31806:
- Habilitar la protección por contraseña en el inicio de sesión en caso de que no se haya establecido ninguna contraseña en el controlador. Tenga en cuenta que el archivo de configuración de la contraseña no está cubierto a través del mecanismo de copia de seguridad y restauración de FFT por defecto, debe seleccionar el archivo relacionado manualmente.
Para CVE-2022-3270 se informa de que Festo actualizará la documentación del manual técnico del usuario en la próxima versión del producto. Así que adicionalmente se aconseja:
- Los usuarios que ejecuten la comunicación a través de una red no fiable y que necesiten una protección total deben cambiar a una solución alternativa, como ejecutar la comunicación a través de una VPN.
- Festo recomienda encarecidamente minimizar y proteger el acceso a la red de los dispositivos conectados con técnicas y procesos de última generación. Para un funcionamiento seguro, siga las recomendaciones de los manuales de los productos y tenga en cuenta los protocolos y sus funciones compatibles en la ayuda en línea de Festo Field Device Tool o Festo Automation Suite.
- Como parte de una estrategia de seguridad, Festo recomienda las siguientes medidas generales de defensa para reducir el riesgo de exploits:
- Utilizar los controladores y dispositivos sólo en un entorno protegido para minimizar la exposición a la red y garantizar que no sean accesibles desde el exterior.
- Utilice cortafuegos para proteger y separar la red del sistema de control de otras redes.
- Utilizar túneles VPN (redes privadas virtuales) si se requiere acceso remoto.
- Activar y aplicar funciones de gestión de usuarios y contraseñas.
- Utilizar enlaces de comunicación encriptados.
- Limitar el acceso al sistema de desarrollo y al de control por medios físicos, características del sistema operativo, etc.
- Proteger tanto el sistema de desarrollo como el de control utilizando soluciones de detección de virus actualizadas.
Referencias
[1] Festo: Multiple Festo products contain an unsafe default Codesys configuration[2] Festo: Incomplete documentation of remote accessible functions and protocols in Festo products