Rockwell Automation: «Desconecten los ICS de Internet, no vale la pena correr tal riesgo»

Rockwell Automation recomienda enfáticamente a sus clientes que desconecten todos los sistemas de control industrial (ICS) que no están diseñados para estar conectados a Internet, para prevenir ataques cibernéticos no autorizados o malintencionados. Esta medida es necesaria debido a la creciente tensión geopolítica y al aumento de la actividad de los ciberdelincuentes en todo el mundo.

La empresa insta a tomar medidas inmediatas: los usuarios deben verificar si sus dispositivos tienen acceso a Internet y, de ser así, desconectarlos si no estaban originalmente destinados para acceso público. "Los usuarios nunca deberían configurar sus activos para una conexión directa desde Internet", enfatizaron en Rockwell Automation.

La desconexión de las conexiones a Internet reducirá significativamente la probabilidad de ataques y disminuirá la vulnerabilidad ante amenazas externas. Además, la compañía recomienda a las organizaciones que utilizan soluciones de software de Rockwell asegurarse de que todos los parches y actualizaciones necesarios estén instalados para proteger contra vulnerabilidades que afecten sus productos.

Entre estas vulnerabilidades se encuentran:

1. CVE-2021-22681 (puntuación CVSS: 10.0);
2. CVE-2022-1159 (puntuación CVSS: 7.7);
3. CVE-2023-3595 (puntuación CVSS: 9.8);
4. CVE-2023-46290 (puntuación CVSS: 8.1);
5. CVE-2024-21914 (puntuación CVSS: 5.3);
6. CVE-2024-21915 (puntuación CVSS: 9.0);
7. CVE-2024-21917 (puntuación CVSS: 9.8).

El aviso también está respaldado por la Agencia de Ciberseguridad e Infraestructura de Seguridad de EE. UU. (CISA), que recomienda a los usuarios y administradores seguir las medidas expuestas para reducir los riesgos.

Entre las recomendaciones también se incluye una advertencia conjunta de la CISA y la Agencia de Seguridad Nacional de EE. UU. (NSA) de 2020 sobre los delincuentes que explotan vulnerabilidades en los sistemas de tecnologías operativas (OT), lo que puede representar una seria amenaza para la infraestructura crítica.

En los últimos años, los grupos de ciberdelincuentes, incluyendo los grupos APT, han atacado cada vez más los sistemas OT/ICS para lograr objetivos políticos y económicos, así como para causar consecuencias destructivas.

Los delincuentes se conectan a los controladores lógicos programables públicos (PLC), alterando la lógica de control y causando consecuencias indeseadas.

Investigaciones recientes presentadas en el simposio NDSS en marzo de 2024 demostraron que realizar un ataque tipo Stuxnet, hackeando aplicaciones web o interfaces hombre-máquina integradas en PLC, no es difícil para los delincuentes experimentados.

Estos ataques incluyen la falsificación de lecturas de sensores, la desactivación de alarmas de seguridad y la manipulación de mecanismos físicos de actuación. La incorporación de tecnologías web en los sistemas industriales de control ha traído nuevos problemas y desafíos en términos de ciberseguridad.

El nuevo malware para PLC tiene ventajas significativas sobre los métodos de ataque existentes, como la independencia de la plataforma, la facilidad de implementación y la alta resistencia, lo que permite a los delincuentes realizar acciones maliciosas de manera discreta sin la necesidad de integrar la lógica de control.

Para garantizar la seguridad de las redes OT y ICS, se recomienda restringir el acceso a la información del sistema, realizar auditorías y proteger los puntos de acceso remotos, limitar el acceso a las redes y sistemas de control solo a usuarios legítimos, realizar revisiones de seguridad regulares y establecer un entorno de red dinámico.