Introducció
L’empresa d’automatització alemanya Festo va ser informada pels investigadors Daniel dos Santos i Rob Hulsebos de Forescout de diverses vulnerabilitats, dues d’elles crítiques, sobre un possible accés sense autenticació que permetria l’ús de protocols no documentats i l’accés a arxius de configuració.
Anàlisi
Les dues vulnerabilitats de severitat crítica associades a totes les versions dels productes afectats són les següents:
CVE-2022-31806 [1]: Inicialització insegura per defecte del recurs (CWE-1188)
La protecció per contrasenya no està activada per defecte i no hi ha informació o avís per a activar la protecció per contrasenya en l’inici de sessió en cas que no s’establisca una contrasenya en el controlador
CVE-2022-3270 [2]: Documentació tècnica insuficient (CWE-1059)
El producte no conté suficient documentació tècnica o d’enginyeria (ja siga en paper o en format electrònic) que continga descripcions de tots els elements de programari/maquinari rellevant del producte, com el seu ús, estructura, components arquitectònics, interfícies, disseny, implementació, configuració, funcionament, etc.
En diversos productes de Festo, un atacant remot no autenticat podria utilitzar funcions de protocols no documentats que podrien conduir a una pèrdua completa de la confidencialitat, integritat i disponibilitat.
Totes les versions dels productes esmentats a continuació:
- Sistemes de càmera.
- Interfícies Ethernet/IP.
- Passarel·les.
- Controladors de motors.
- Servoaccionaments.
- Sistemes de visió.
- Blocs de control.
- Controladors.
- Unitats d’operadors.
- Mòduls de bus.
- Nodes de bus.
- Unitats integrades.
- Unitats d’operadors.
- Planar surface gantry.
Els models específics de cada producte es poden consultar en els enllaços de les referències.
Recomanacions
Per a CVE-2022-31806:
- Habilitar la protecció per contrasenya en l’inici de sessió en cas que no s’haja establit cap contrasenya en el controlador. Tinga en compte que l’arxiu de configuració de la contrasenya no està cobert a través del mecanisme de còpia de seguretat i restauració de FFT per defecte, ha de seleccionar l’arxiu relacionat manualment.
Per a CVE-2022-3270 s’informa que Festo actualitzarà la documentació del manual tècnic de l’usuari en la pròxima versió del producte. Així que addicionalment s’aconsella:
- Els usuaris que executen la comunicació a través d’una xarxa no fiable i que necessiten una protecció total han de canviar a una solució alternativa, com executar la comunicació a través d’una VPN.
- Festo recomana encaridament minimitzar i protegir l’accés a la xarxa dels dispositius connectats amb tècniques i processos d’última generació. Per a un funcionament segur, seguisca les recomanacions dels manuals dels productes i tinga en compte els protocols i les seues funcions compatibles en l’ajuda en línia de Festo Field Device Tool o Festo Automation Suite.
- Com a part d’una estratègia de seguretat, Festo recomana les següents mesures generals de defensa per a reduir el risc d’exploits:
- Utilitzar els controladors i dispositius només en un entorn protegit per a minimitzar l’exposició a la xarxa i garantir que no siguen accessibles des de l’exterior.
- Utilitze tallafocs per a protegir i separar la xarxa del sistema de control d’altres xarxes.
- Utilitzar túnels VPN (xarxes privades virtuals) si es requereix accés remot.
- Activar i aplicar funcions de gestió d’usuaris i contrasenyes.
- Utilitzar enllaços de comunicació encriptats.
- Limitar l’accés al sistema de desenvolupament i al de control per medis físics, característiques del sistema operatiu, etc.
- Protegir tant el sistema de desenvolupament com el de control utilitzant solucions de detecció de virus actualitzades.
Referències
[1] Festo: Multiple Festo products contain an unsafe default Codesys configuration[2] Festo: Incomplete documentation of remalnom accessible functions and protocols in Festo products