Múltiples vulnerabilidades en conmutadores Stratix de Rockwell Automation
- Stratix 5800: versiones 16.12.01 y anteriores;
- Stratix 8000: versiones 15.2 (7) E3 y anteriores;
- Stratix 5700: versiones 15.2 (7) E3 y anteriores;
- Stratix 5410: versiones 15.2 (7) E3 y anteriores;
- Stratix 5400: versiones 15.2 (7) E3 y anteriores.
Investigadores de Cisco informaron a Rockwell Automation de vulnerabilidades en sus conmutadores industriales, gestionados por Stratix, que podrían permitir a un atacante causar vulnerabilidades de denegación de servicio, escalada de privilegios no autorizada, secuestro de sesiones web, accesos no permitidos a rutas relativas o la inyección de comandos en los productos afectados.
Rockwell Automation recomienda aplicar las siguientes soluciones:
- Stratix 5800: instalar la versión 17.04.01 o posterior, y si es posible desactivar el protocolo DECnet por completo o por interfaces.
- Stratix 8300: migrar el producto a una solución más actualizada.
Para todos los productos afectados se recomienda además seguir el principio de usuarios con privilegios mínimos y que el acceso a las cuentas de usuario solo se otorgue al personal estrictamente necesario. Puede consultar el aviso del fabricante para más información.
Rockwell Automation está trabajando en nuevos parches para solucionar estas vulnerabilidades, y como mitigación provisional recomienda:
- Utilizar en las redes donde se encuentren los sistemas de control industrial, segmentación en la infraestructura de red a través de firewalls para evitar el tráfico de fuentes no autorizadas o de la red empresarial.
- En los productos que lo permitan, utilizar la configuración de un interruptor a modo de hardware para bloquear cambios no autorizados, etc.
- Conectarse a los dispositivos desde equipos confiables, con medidas de seguridad básicas aplicadas, tales como la utilización de programas antivirus/antimalware o equipos actualizados o con acceso limitado a Internet.
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, confirmando que no son accesibles desde Internet.
- Cuando se requiera acceso remoto, utilizar métodos seguros, como redes privadas virtuales (VPN).
Cisco ha comunicado a Rockwell Automation varias vulnerabilidades en las que, a través de su CLI o uPNP y sus productos de software Cisco IOS y Cisco IOS XE, podrían verse afectados los conmutadores Stratix. Algunas de estas vulnerabilidades podrían permitir que un atacante autenticado recupere la contraseña del protocolo industrial común (CIP), y luego configure de forma remota el dispositivo afectado como un usuario, o causar una denegación de servicio a través del protocolo DECnet.
Adicionalmente, se ha identificado una vulnerabilidad en los conmutadores Stratix 5800, que podría permitir que un atacante físico no autenticado ejecute código persistente en el momento del arranque.
Se han asignado los siguientes identificadores para estas vulnerabilidades: CVE-2021-1392, CVE-2021-1403, CVE-2021-1352, CVE-2021-1442, CVE-2021-1452, CVE-2021-1443, CVE-2021-1220 y CVE-2021-1356.
