Vulnerabilidad de manipulación del tiempo de ciclo en PLC en varios fabricantes

Cada fabricante ha proporcionado distintas soluciones para la vulnerabilidad:

• ABB: no clasifica esta vulnerabilidad como tal, sino que asocia el problema a una mala configuración del controlador del PLC que se configuró de manera predeterminada en la fábrica. Esta configuración errónea puede solventarse estableciendo una apropiada combinación de la prioridad de la tarea, el tiempo de ciclo de la misma y la configuración de vigilancia (watchdog). El fabricante aconseja consultar el capítulo Onboard Ethernet Handling in CPU Firmware para más información.
• Phoenix Contact: clasifica la vulnerabilidad como un problema conocido, no solucionado para productos antiguos. Los productos que poseen actualmente en el mercado, proporcionan contramedidas para mitigar el impacto en las funcionalidades relacionadas con la seguridad. Para más información, puede consultarse la nota publicada por la compañía.
• Schneider Electric: las correcciones para solventar esta vulnerabilidad se encuentran en la versión de firmware v1.10.0.0 del Modicon M221 y la v1.0 para el software EcoStruxure Machine Expert - Basic. Otra opción es ejecutar la herramienta de actualización de software de Schneider Electric para descargar e instalar la versión 1.0 de EcoStruxure Machine Expert - Basic. La compañía ha publicado un aviso de seguridad (SEVD-2019-045-01).
• Siemens: ha investigado y valorado los resultados expuestos en el informe de la vulnerabilidad que se le ha presentado y concluye que en dicho informe no se demuestra una vulnerabilidad válida para sus PLC.
• WAGO: recomienda a sus clientes que utilicen los dispositivos afectados bajo redes cerradas o que protejan sus comunicaciones con un cortafuegos para evitar accesos no autorizados. Otra mitigación recomendada es limitar el tráfico de red a través de la función de límite de velocidad de conmutación de acuerdo con las necesidades de la aplicación.