Más de un 33% de las vulnerabilidades de los dispositivos ICS (sistemas de control industriales) no tienen un parche disponible en un momento pese a que estos entornos se enfrentan graves amenazas de ciberseguridad.
Parchear vulnerabilidades en entornos industriales siempre ha sido un desafío debido a problemas de interoperabilidad, requisitos estrictos de tiempo de actividad y, en ocasiones, la antigüedad de los dispositivos. Según un análisis reciente, un tercio de las vulnerabilidades ni siquiera tienen parches o soluciones disponibles.
Así se desprende de los datos que maneja la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, CISA. En ellos se advierte de fallos de seguridad críticos que afectan a productos de InHand Networks, Sauter Controls, Sewio y Siemens.
La más grave de las vulnerabilidades se relaciona con RTLS Studio de Sewio, que podría ser aprovechada para que ciberdelincuentes puedan obtener acceso no autorizado al servidor. Además, también podría alterar información, crear una condición de denegación de servicio, obtener privilegios escalados y ejecutar código arbitrario.
También se han detectado cinco vulnerabilidades en InHand Networks InRouter 302 e InRouter 615, que pueden provocar la inyección de comandos, la divulgación de información y la ejecución de código.
De los 926 CVE que se incluyeron en los avisos de la Agencia en ICS durante la segunda mitad de 2022, el 35% no tenía parches ni soluciones disponibles del proveedor, según un análisis de SynSaber.
Y la tendencia puede ser preocupante en un momento en el que la cantidad de ataques contra operadores de equipos industriales en las industrias está en aumento.
Falta de soluciones para las vulnerabilidades en sistemas industriales
En total, los avisos de la CISA afectaron a 184 productos únicos de 70 proveedores diferentes, siendo los sectores más afectados los de fabricación crítica, energía, sistemas de agua, atención médica y transporte. Además, del 69% de las vulnerabilidades de ICS detectadas durante la segunda mitad de 2022, alrededor del 58% fueron altas, y sobre un 13% críticas.
La buena noticia es que la probabilidad de que se explote una vulnerabilidad en entornos de sistemas industriales difiere de los de TI empresarial. Esto se debe a factores como la accesibilidad a la red y la interacción del usuario.
Según el análisis de SynSaber, en 104 CVE, el 11% requerían acceso físico o de red local al dispositivo para explotar, así como la interacción del usuario. Otro 25% requería la interacción del usuario independientemente de la disponibilidad de la red.
El estudio también destaca que el 63% de los errores detectados en el segundo semestre del pasado año requirieron una corrección de software, el 33% necesitaron actualizaciones de firmware, y el 4% actualizaciones de protocolo.
La incidencia de errores de firmware y protocolo fue menor que en el primer semestre. Sin embargo, alrededor del 35% de los CVE no tenían parches ni soluciones disponibles del proveedor y muchos de ellos podrían permanecer así siempre porque los productos ya no son compatibles o el proveedor no planea lanzar correcciones.