Las fallas de VPN pueden permitir ataques

Por Swati Khandelwal

Las fallas de VPN pueden permitir que los atacantes apunten a la infraestructura.

En este artículo de The Hackernews, hablaremos sobre los hallazgos de vulnerabilidad. Los investigadores de ciberseguridad han descubierto vulnerabilidades críticas en las implementaciones de VPN industriales. Dado que se utilizan para proporcionar acceso remoto a redes de tecnología operativa (OT), además, podrían permitir a los piratas informáticos sobrescribir datos, ejecutar códigos maliciosos y comprometer los sistemas de control industrial (ICS).

Vulnerabilidades en las instalaciones de VPN

Un nuevo informe publicado por la empresa de ciberseguridad industrial Claroty demuestra varias vulnerabilidades graves de instalaciones de nivel empresarial (VPN), que incluyen Secomea GateManager M2M Server, Moxa EDR-G902 y EDR-G903 y el cliente VPN eWon eCatcher de HMS Networks.
Estos productos vulnerables se utilizan ampliamente en industrias de campo, como petróleo y gas, servicios de agua y servicios eléctricos, para acceder de forma remota, mantener y monitorear ICS y dispositivos de campo, incluidos controladores lógicos programables (PLC) y dispositivos de entrada / salida.

Según los investigadores de Claroty, la explotación exitosa de estas vulnerabilidades podría dar a un atacante no autenticado acceso directo a los dispositivos ICS y potencialmente causar algún daño físico.

Vulnerabilidad crítica

En GateManager de Secomean, los investigadores descubrieron varias fallas de seguridad, incluida una vulnerabilidad crítica (CVE-2020-14500) que le permite sobrescribir datos arbitrarios, ejecutar código arbitrario o causar una condición DoS, ejecutar comandos como root y obtener contraseñas de usuario debido al uso de un tipo de hash débil.

GateManager es un servidor ICS de acceso remoto ampliamente utilizado, implementado en todo el mundo como una solución SaaS basada en la nube que permite a los usuarios conectarse a la red interna de Internet a través de un túnel cifrado, evitando configuraciones de servidor.

Fallo crítico en la solución de acceso remoto

La falla crítica, identificada como CVE-2020-14500, afecta al componente GateManager, la instancia de enrutamiento principal en la solución de acceso remoto Secomea. El error se debe a un manejo inadecuado de algunos de los encabezados de solicitud HTTP proporcionados por el cliente.

Esta falla se puede explotar de forma remota y sin requerir autenticación para garantizar la ejecución remota del código, lo que puede resultar en un acceso completo a la red interna del cliente, además de la capacidad de descifrar todo el tráfico que pasa a través de la VPN.

Ejecución remota de código

En los servidores VPN industriales Moxa EDR-G902 y EDR-G903, los investigadores descubrieron un error de desbordamiento de búfer basado en pila (CVE-2020-14511) en el servidor web del sistema que solo puede activarse enviando una solicitud HTTP especialmente diseñada, eventualmente permitiendo a los atacantes realizar la ejecución remota de código sin necesidad de credenciales.

Los investigadores de Claroty también probaron eCatcher de HMS Networks, un cliente VPN patentado que se conecta al dispositivo eWon VPN de la compañía, y encontraron que el producto es vulnerable a un desbordamiento de búfer crítico basado en pila (CVE-2020-14498) que se puede explotar para lograr ejecución remota de código.
Todo lo que debe hacer un atacante es inducir a las víctimas a que visiten un sitio web malicioso o abrir un correo electrónico malicioso que contenga un elemento HTML especialmente diseñado que desencadena la falla de eCatcher, lo que permite a los atacantes tomar el control completo de la máquina objetivo.

https://forti1.com/acesso-remoto-seguro/

Los tres proveedores fueron notificados de las vulnerabilidades y respondieron rápidamente para lanzar parches de seguridad que abordan las violaciones de sus productos.

Se recomienda a los usuarios de Secomea que actualicen sus productos a las versiones 9.2c / 9.2i de GateManager recientemente lanzadas, los usuarios de Moxa deben actualizar EDR-G902 / 3 a la versión v5.5, aplicando las actualizaciones de firmware disponibles para las series EDR-G902 y EDR -G903 Se recomienda a los usuarios y redes HMS que actualicen eCatcher a la versión 6.5.5 o posterior.

ES
Ir arriba