Vulnerabilidad de Microsoft Windows RDS (Remote Desktop Service) en Sistemas de Control Industrial

Fecha de publicación 20/05/2019
Importancia
5 - Crítica
Recursos Afectados

Varios fabricantes de productos de Sistemas de Control Industrial se han visto afectados por esta vulnerabilidad en el servicio RDS, entre ellos:

  • [Actualización 11/09/2019] Varios productos de la gama Siemens Healthineers afectados por DejaBlue.
  • [Actualización 09/07/2019] Varios productos de la gama Siemens Healthineers.
  • [Actualización 17/07/2019]Varios productos de Schneider Electric que utilizan Microsoft Windows como sistema operativo.
  • [Actualización 30/06/2019] Varios productos de Philips.
  • [Actualización 30/05/2019] Varios productos de Pepperl+Fuchs:
    • VisuNet RM*
    • VisuNet PC*
    • Box Thin Client BTC*
  • [Actualización 03/10/2019] Varios productos de Bosch.
Descripción

La publicación de las actualizaciones de seguridad de Microsoft, publicadas este mes de mayo, describe una vulnerabilidad que afecta al servicio de RDS (Remote Desktop Service), que afectaría a varios productos industriales que utilizan este servicio en sus productos, como la gama de Siemens Healthineers y varios productos de Schneider Electric. Esta vulnerabilidad permitiría a un atacante remoto no autenticado, la ejecución de código remoto en el sistema objetivo, si este sistema tiene accesible a la red el servicio de RDS (Remote Desktop Service) de Microsoft Windows. Este aviso ya fue publicado en INCIBE-CERT para sistemas de TI, como Boletín de seguridad de Microsoft de mayo de 2019.

Solución
  • Microsoft dispone de actualización para los sistemas operativos afectados, que soluciona la vulnerabilidad en RDS (Remote Desktop Service).
  • [Actualización 23/05/2019] Para los productos que están en fase de fin de soporte, no se prevén actualizaciones. Por lo tanto, Siemens recomienda cerrar el puerto RDP cuando sea posible o desconectar estos dispositivos de la red.
  • [Actualización 30/05/2019] Para dispositivos HMI de Pepperl+Fuchs que ejecutan RM Shell 4 con RDS (Remote Desktop Services) habilitado, deben actualizarse con los parches de seguridad RM Image 4 desde 01/2017 hasta 09/2019 (18-33400G).
  • [Actualización 24/10/2019] Para dispositivos HMI de Pepperl+Fuchs que ejecutan RM Shell 4 con RDS (Remote Desktop Services) habilitado, deben actualizarse con los parches de seguridad RM Image 5 09/2019 (18-33624E).
  • [Actualización 16/08/2019] Microsoft dispone de actualización para los sistemas operativos afectados, que soluciona la vulnerabilidad en RDS (Remote Desktop Service).
  • [Actualización 03/10/2019] Bosch ha publicado actualizaciones para la mayoría de productos afectados, consultar la sección referencias para obtener más información.
Detalle
  • La vulnerabilidad encontrada en el servicio RDS (Remote Desktop Service) de Microsoft Windows, podría permitir a un atacante remoto no autenticado ejecutar código. El atacante debe disponer de acceso a la red, y el sistema debe tener el servicio RDS expuesto, generalmente por el puerto 3389/TCP. El envió de peticiones RDP especialmente diseñadas, permitiría al atacante explotar esta vulnerabilidad, que entre otras acciones podría instalar programas, crear cuentas o ejecutar código de forma remota. Se ha asignado el identificador CVE-2019-0708 para esta vulnerabilidad.
  • [Actualización 16/08/2019] Aunque la función RDP (Remote Desktop Protocol) esté desactivada de forma predeterminada, estas vulnerabilidades podrían permitir a un atacante, la ejecución de código a nivel del sistema, mediante el envío de un paquete RDP de autenticación previa, especialmente diseñado, a un servidor RDS afectado. No se requiere la intervención del usuario, por lo que también podrían ser utilizadas por un posible malware para propagarse automáticamente a otros sistemas. Se han asignado los identificadores CVE-2019-1181 , CVE-2019-1182 , CVE-2019-1222 y CVE-2019-1226 para estas vulnerabilidades.

Encuesta valoración

Listado de referencias
Schneider Electric Security Bulletin Microsoft Remote Desktop Services
[Actualización 23/05/2019] SSB-501863: Customer Information on Microsoft Windows RDP Vulnerability for Siemens Healthineers
[Actualización 21/05/2019] Microsoft Releases Security Update for Remote Desktop Services Vulnerability
[Actualización 30/06/2019] Microsoft Remote Desktop Services Remote Execution Vulnerability (15 May 2019)
[Actualización 09/07/2019] Vulnerability in Advanced Therapy Products from Siemens Healthineers
[Actualización 24/05/2019] Vulnerability in Siemens Healthineers Software Products
[Actualización 24/05/2019] Vulnerability in Radiation Oncology Products from Siemens Healthineers
[Actualización 24/05/2019] Vulnerability in Laboratory Diagnostics Products from Siemens Healthineers
[Actualización 24/05/2019] Vulnerability in Radiography and Mobile X-ray Products from Siemens Healthineers
[Actualización 24/05/2019] Vulnerability in Point of Care Diagnostics Products from Siemens Healthineers - Blood Gas
PEPPERL+FUCHS Remote code execution vulnerability in HMI devices
[Actualización 17/07/2019] Security Notification CVE-2019-0708 Microsoft Remote Desktop Services (BlueKeep)
[Actualización 11/09/2019] SSA-187667: DejaBlue Vulnerabilities - Siemens Healthineers Products
[Actualización 03/10/2019] Vulnerability for Windows Remote Desktop Services (RDP) Remote Code Execution
[Actualización 03/10/2019] Vulnerability for Windows Remote Desktop Services (RDP) Remote Code Execution
ICS Medical Advisory (ICSMA-20-049-01) Spacelabs Xhibit Telemetry Receiver (XTR)
Etiquetas