martes, 8 de julio de 2008

Core Security descubre vulnerabilidad crítica que podría afectar servicios públicos

Buenos Aires.- Core Security Technologies, proveedor de CORE IMPACT -el producto más exhaustivo para evaluar la seguridad a nivel corporativo-, anunció que descubrió una vulnerabilidad que podría impactar en organizaciones que utilizan el software CitectSCADA de control de procesos industriales, de la empresa Citect, un proveedor global, con casa matriz en Australia, de sistemas de supervisión, control y adquisición de datos y control de procesos industriales.Según CoreLabs, el grupo de investigación de Core Security que descubrió la falla y la reportó a Citect, un atacante podría utilizar la vulnerabilidad para obtener el control de un sistema corriendo CitectSCADA de forma remota, sin autenticación previa. El agujero de seguridad le permitiría a un potencial atacante ejecutar cualquier tipo de programa en los sistemas vulnerables para tomar control de las operaciones que se manejan con el software del fabricante.La vulnerabilidad descubierta supone serios riesgos, ya que constituye una puerta de acceso para fallas accidentales o incluso ataques informáticos que podrían comprometer el correcto funcionamiento de los procesos industriales que controlan los servicios de suministro de energía eléctrica, agua o gas natural, así como la operación de plantas industriales de empresas de todo tipo. Además de trabajar directamente desde enero de 2008 con Citect, el fabricante del software, para solucionar la vulnerabilidad, Core Security mantuvo contacto con los Equipos de Respuesta a Emergencias Informáticas (Computer Emergency Response Team, CERTs) de Argentina, Australia y Estados Unidos para asegurar que las organizaciones que corren CitectSCADA fueran notificadas de la situación.En el país, la compañía se contactó con ArCERT, la unidad de respuesta ante incidentes en redes responsable de centralizar y coordinar los esfuerzos para el manejo de los incidentes de seguridad que puedan afectar los recursos informáticos de la Administración Pública Nacional. ArCERT funciona en el ámbito de la Oficina Nacional de Tecnologías de Información de la Subsecretaría de Tecnologías de Gestión, dependiente de la Secretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros.Citect cuenta con un amplio rango de clientes de la tecnología afectada. Incluyendo organizaciones de la industria, de alimentación, petróleo y gas, química, minera, automotriz, cementera y papelera, además de empresas de servicios públicos. De acuerdo a información publicada por el fabricante, la empresa que cuenta con 20 oficinas y representaciones comerciales que cubren todos los continentes y sus productos se distribuyen en más de 80 países a través de 500 socios comerciales. Asimismo, tiene más de 150,000 licencias de software vendidas en todo el mundo.Entre los casos de éxito que se destacan en su sitio web se encuentran las empresas chilenas Electrogas y Metrogas que utilizan el software de supervisión y control para el gasoducto Gas Andes con el que Argentina suministra gas a Chile.
Detalles de la vulnerabilidad
SCADA, acrónimo que significa, en español, control supervisor y adquisición de datos, es un sistema que recolecta datos e información de diferentes sensores y dispositivos electromecánicos instalados en varios puntos dentro de una planta industrial, fábrica, o en estaciones remotas, para luego enviarlos a una computadora central que permite a un operador administrarlos y controlarlos usando software diseñado a tal fin. La vulnerabilidad descubierta por Core es un ejemplo de libro de un problema simple de seguridad en software conocido como buffer overflow, que permite que un atacante tome el control de un programa, en este caso el de Citect, al enviar más información de la que el programa está preparado para recibir y procesar. El fabricante sostiene que redes con sistemas SCADA o de control de procesos industriales, nunca deberían estar expuestas sin protección a Internet. Asimismo, indica que las organizaciones que operan este tipo de sistemas deberían aislar el sistema de Internet completamente, o utilizar tecnologías de seguridad, por ejemplo firewalls, para mantenerlos protegidos de comunicaciones externas riesgosas.A pesar de que la mayoría de los fabricantes de software SCADA mantienen una postura similar y aconsejan a sus clientes que mantengan sus sistemas separados de Internet, la realidad muestra que muchas organizaciones tienen sus redes de control de procesos accesibles desde redes inalámbricas o redes de datos corporativas que a su vez están expuestas a redes públicas como la Internet, según confirmaron expertos de CoreLabs. “Si bien se sabe y reconoce que el software SCADA y de control de procesos no está diseñado para ser accesible desde redes públicas, por lo que los sistemas que lo corren deberían estar en redes de Sistemas de Control de Procesos aisladas, la realidad es que en muchas empresas es posible encontrar vías de acceso a estos sistemas desde otras redes o incluso desde el exterior”, aseguró Iván Arce, CTO de Core Security Technologies. “Las vulnerabilidades de este tipo pueden plantear graves riesgos en cualquier negocio que use esta tecnología, y tanto el fabricante como las empresas deberían ser muy cuidadosos y solucionarlas lo antes posible”.La actualización de Citect para la falla de seguridad, que está disponible por pedido al fabricante, ofrece a los clientes la opción de: Deshabilitar el servicio “abierto de conectividad de base datos” (conocido como ODBC por sus siglas en inglés), o; Descartar automáticamente paquetes de red ODBC defectuosos del tipo que la investigación de CoreLabs señaló como factibles de ser usados para explotar la vulnerabilidad.
Acerca de CoreLabs
CoreLabs, el centro de investigación y desarrollo de Core Security Technologies con sede en Buenos Aires, Argentina, está a cargo de anticipar las necesidades y requerimientos futuros para tecnologías de seguridad de la información. La investigación es llevada a cabo en varias áreas importantes de seguridad de la información, incluyendo vulnerabilidades en software y sistemas, simulación y planeamiento de ciber-ataques, auditoría de código fuente y criptografía. Los resultados de estos esfuerzos abarcan la formalización del problema, identificación de vulnerabilidades, soluciones originales y prototipos para nuevas tecnologías.
Acerca de Core Security Technologies
Core Security Technologies desarrolla soluciones estratégicas que ayudan a organizaciones de todo el mundo, preocupadas por la seguridad informática, a desarrollar y mantener un proceso proactivo para asegurar su infraestructura de IT. El producto insignia de la compañía, CORE IMPACT, es el producto más exhaustivo para determinar el correcto funcionamiento y verificar el cumplimiento de medidas seguridad en redes corporativas. IMPACT evalúa servidores, sistemas operativos y aplicaciones de escritorio, aplicaciones web y la conducta de los usuarios en relación a la seguridad, identificando qué recursos están expuestos. Esto permite a las organizaciones determinar si sus inversiones actuales en seguridad están detectando y previniendo ataques y los activos cuya protección requiere mayor prioridad. Core Security Technologies potencia su solución de tecnología líder con servicios de consultoría en seguridad “World Class”, incluyendo pruebas de intrusión y auditoría de seguridad de software. Core Security Technologies tiene su centro de investigación y desarrollo en Buenos Aires, Argentina, y su oficina comercial en Boston, MA Estados Unidos.

No hay comentarios: