Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/01/2012
SCADA continua sent vulnerable i les seues fallades es fan públiques
Un grup d’investigadors han mostrat múltiples fallades de seguretat sense apedaçar en SCADA, un sistema utilitzat per plantes de distribució elèctrica, aigua, gas i petroli.
Durant el “2012 SCADA Security Scientific Symposium (S4)”, un grup d’investigadors han mostrat fallades de seguretat sense apedaçar en programari utilitzat per a controlar sistemes industrials crítics en plantes de distribució de petroli, gas, aigua i electricitat. Les vulnerabilitats van des de fallades que permeten divulgar informació del sistemes a altres que permeten una escalada de privilegis, denegacions de servicis (DoS) i execucions de codi arbitrari. L’equip d’investigació ha estat treballant en un projecte conegut com Basecamp ‘patrocinat’, per Digital Bond, una empresa de seguretat especialitzada en sistemes de control industrial.
Els productes que s’han testat han estat l'SCADAPack de Control Microsystems, General Electric D20ME, Koyo / Direct LOGIC H4-ES, ControlLogix and MicroLogix de Rockwell Automation, Schneider Electric Modicon Quantum i Schweitzer SEL-2032.
Els venedors afectats no s’han desvelat, però tot allò referent a les vulnerabilitats descobertes i els exploits per a aprofitar-se'n s’han mostrat durant l'S4.
El projecte ‘Basecamp” espera aconseguir una reacció dels desenvolupadors de programari SCADA, els productes del qual s’han passat per alt per part de la comunitat d’investigadors de seguretat fins a l’aparició del cuc Stuxnet en 2012.
Considerat com un dels programaris maliciosos més sofisticats de tots els temps, Stuxnet va explotar fallades en el programari SCADA per a injectar codi maliciós en els sistemes de control industrial utilitzats per a controlar les centrifugadores d’enriquiment d’urani de la planta nuclear de Natanz a l'Iran.
La majoria dels problemes de seguretat descoberts pel projecte Basecamp es deuen a fallades de disseny i un muntó de característiques que es poden aprofitar per a propòsits maliciosos. Es creu que fer públiques estes vulnerabilitats sense posar-hi pedaços ha tingut un efecte positiu per als venedors i els ha portat a adonar-se del problema.