Se han descubierto hasta 13 vulnerabilidades de seguridad en la pila TCP/IP Nucleus, una biblioteca de software mantenida actualmente por Siemens y utilizada en tres mil millones de dispositivos de tecnología operativa e IoT que podrían permitir la ejecución remota de código, la denegación de servicio (DoS) y la fuga de información.
Llamados colectivamente «NUCLEUS:13«, los ataques exitosos que abusan de las fallas pueden «hacer que los dispositivos se desconecten y que su lógica sea secuestrada», y «propagar el malware a cualquier lugar en el que se comuniquen en la red», dijeron los investigadores de Forescout y Medigate en un informe técnico publicado el martes, con una prueba de concepto (PoC) que demuestra con éxito un escenario que podría interrumpir la atención médica y los procesos críticos.
Desde entonces, Siemens ha publicado actualizaciones de seguridad para corregir las debilidades en las versiones 3 (v2017.02.4 o posterior) y 4 (v4.1.1 o posterior) de Nucleus ReadyStart.
Nucleus es un sistema operativo en tiempo real (RTOS) de código cerrado que se utiliza principalmente en dispositivos críticos para la seguridad, como máquinas de anestesia, monitores de pacientes, ventiladores y otros equipos sanitarios.
El más grave de los problemas es el CVE-2021-31886 (puntuación CVSS: 9,8), una vulnerabilidad de desbordamiento de búfer basada en la pila que afecta al componente del servidor FTP y que permite a un actor malintencionado escribir código arbitrario, secuestrar el flujo de ejecución y lograr la ejecución de código y, de paso, tomar el control de los dispositivos susceptibles. Otras dos vulnerabilidades de alta gravedad (CVE-2021-31887 y CVE-2021-31888), ambas con impacto en los servidores FTP, podrían ser utilizadas como armas para lograr el DoS y la ejecución remota de código.
Los ataques en el mundo real que aprovechan el fallo podrían, hipotéticamente, impedir el funcionamiento normal de los sistemas ferroviarios automatizados mediante el envío de un paquete FTP malicioso, haciendo que un controlador alimentado por Nucleus se bloquee, impidiendo a su vez que un tren se detenga en una estación y haciendo que colisione con otro tren en la vía.
El análisis de telemetría de ForeScout ha revelado la existencia de 5.500 dispositivos de 16 proveedores, y la mayoría de los dispositivos Nucleus vulnerables se encuentran en el sector sanitario (2.233), seguido por el gubernamental (1.066), el minorista (348), el financiero (326) y el industrial (317).
Es la séptima vez que se descubren puntos débiles de seguridad en las pilas de protocolos que sustentan millones de dispositivos conectados a Internet. También es el quinto estudio que forma parte de una iniciativa de investigación sistemática denominada Proyecto Memoria, cuyo objetivo es analizar la seguridad de las pilas de comunicación de red TCP/IP.
En un aviso independiente, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) instó a los usuarios a tomar medidas defensivas para mitigar el riesgo de explotación de estas vulnerabilidades, incluyendo la minimización de la exposición a la red de todos los dispositivos del sistema de control, la segmentación de las redes del sistema de control de las redes empresariales y el uso de VPNs para el acceso remoto.
«El panorama de las amenazas para cada tipo de dispositivo conectado está cambiando rápidamente, con un número cada vez mayor de vulnerabilidades graves y atacantes motivados por ganancias financieras más que nunca», concluyeron los investigadores. «Esto es especialmente cierto para la tecnología operativa y el Internet de las cosas. La adopción ampliada de este tipo de tecnología por parte de todo tipo de organizaciones, y su profunda integración en las operaciones críticas del negocio, sólo aumentará su valor para los atacantes a largo plazo.»