La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó la semana pasada un aviso de sistema de control industrial (ICS) relacionado con múltiples vulnerabilidades que afectan a los relés de protección de media tensión Easergy de Schneider Electric.
"La explotación exitosa de estas vulnerabilidades descubiertas reportadas por CISA puede revelar las credenciales del dispositivo, provocar una condición de denegación de servicio, reiniciar el dispositivo o permitir que un atacante obtenga el control total del relé", dijo la agencia en un boletín el 24 de febrero de 2022. "Esto podría resultar en la pérdida de protección de su red eléctrica".
Las dos debilidades de alta gravedad afectan las versiones de Easergy P3 anteriores a la v30.205 y las versiones de Easergy P5 anteriores a la v01.401.101.
Elsistema Easergy P3 y relé de protección contra arco eléctrico. Este relé de protección disparará un disyuntor cuando se detecte una falla y está diseñado para ahorrar tiempo operativo y limitar el daño al equipo con la protección del sistema de arco eléctrico de última generación.
Easergy P3 es parte de la cartera conectada de la arquitectura habilitada para IoT de Schneider Electric: EcoStruxure Power.
EcoStruxure™ es nuestra plataforma y arquitectura de sistema abierta, interoperable y habilitada para IoT. EcoStruxure ofrece un valor mejorado en torno a la seguridad, la confiabilidad, la eficiencia, la sostenibilidad y la conectividad para nuestros clientes. EcoStruxure aprovecha los avances en IoT, movilidad, detección, nube, análisis y ciberseguridad para ofrecer innovación en todos los niveles.
Esto incluye productos conectados, Edge Control y aplicaciones, análisis y servicios. EcoStruxure se ha implementado en 480 000 sitios, con el apoyo de 20 000 integradores y desarrolladores de sistemas, conectando más de 1,6 millones de activos bajo administración a través de 40 servicios digitales.
El Easergy P3 se centra en la eficiencia y el costo total de implementación, con ahorro de tiempo en adquisición, instalación, cableado y configuración.
Fallas encontradas por CISA
Los detalles de los defectos actuales encontrados en estos dispositivos son los siguientes:
- CVE-2022-22722 (puntuación CVSS: 7,5): uso de credenciales codificadas de las que se podría abusar para observar y manipular el tráfico asociado con el dispositivo.
- CVE-2022-22723 y CVE-2022-22725 (puntaje CVSS: 8.8): una vulnerabilidad de desbordamiento de búfer que podría provocar bloqueos del programa y la ejecución de código arbitrario al enviar paquetes especialmente diseñados al relé a través de la red.
Schneider Electric abordó las fallas, que fueron descubiertas e informadas por los investigadores Timothée Chauvin, Paul Noalhyt, Yuanshe Wu en Red Balloon Security, como parte de las actualizaciones enviadas el 11 de enero de 2022.
El aviso llega menos de 10 días después de que CISA emitiera otra alerta de múltiples vulnerabilidades críticas en el Sistema SCADA Gráfico Interactivo ( IGSS ) de Schneider Electric que, si se explota con éxito, podría resultar en "divulgación de datos y pérdida de control del sistema SCADA con IGSS" ejecutándose en modo de producción".
En noticias relacionadas, la agencia federal de EE. UU. también hizo sonar la alarma relacionada con el software Proficy CIMPLICITY SCADA de General Electric, advirtiendo sobre dos vulnerabilidades de seguridad que podrían abusarse para revelar información confidencial, lograr la ejecución de código y escalar privilegios locales.
Basado en décadas de innovación, CIMPLICITY es el HMI/SCADA elegido por los fabricantes y empresas de servicios públicos más grandes del mundo. Al escalar desde OEM y automatización de una sola máquina hasta SCADA empresarial que conecta plantas en todo el mundo, CIMPLICITY ofrece una respuesta más rápida, costos reducidos y mayor rentabilidad.
CIMPLICITY es innovador y poderoso, y en GE lo usamos en nuestras propias plantas. Sabemos que a ti también te encantará CIMPLICITY.
Los avisos siguen a un informe Year In Review de la empresa de ciberseguridad industrial Dragos, que encontró que el 24 % del total de 1703 vulnerabilidades ICS/OT informadas en 2021 no tenían parches disponibles, de las cuales el 19 % no tenía mitigación, lo que impedía que los operadores tomaran medidas para salvaguardar sus sistemas de amenazas potenciales.
Además, Dragos identificó actividad maliciosa de tres nuevos grupos que se encontraron apuntando a los sistemas ICS el año pasado, incluidos los de los actores que rastrea como Kostovite, Erythrite y Petrovite.
Cada uno de los cuales se dirigió a los entornos OT de energía renovable, servicios públicos eléctricos y minería y empresas de energía ubicadas en Canadá, Kazajstán y EE. UU.
