SCADA sigue siendo vulnerable y sus fallos se hacen públicos

Un grupo de investigadores han mostrado múltiples fallos de seguridad sin parchear en SCADA, un sistema utilizado por plantas de distribución eléctrica, agua, gas y petróleo.

Durante el “2012 SCADA Security Scientific Symposium (S4)” un grupo de investigadores han mostrado fallos de seguridad sin parchear en software utilizado para controlar sistemas industriales críticos en plantas de distribución de petróleo, gas, agua y electricidad. Las vulnerabilidades van desde fallos que permiten divulgar información del sistemas a otros que permiten una escalada de privilegios, denegaciones de servicios (DoS) y ejecuciones de código arbitrario.

El equipo de investigación ha estado trabajando en un proyecto conocido como ‘Basecamp’, patrocinado por Digital Bond, una empresa de seguridad especializada en sistemas de control industrial.

Los productos que se han testado han sido el SCADAPack de Control Microsystems, General Electric D20ME, Koyo / Direct LOGIC H4-ES, ControlLogix and MicroLogix de Rockwell Automation, Schneider Electric Modicon Quantum y Schweitzer SEL-2032.

Los vendedores afectados no se han desvelado, pero lo referente a las vulnderabilidades descubiertas y los exploits para aprovecharse de ellas se han mostrado durante el S4.

El proyecto ‘Basecamp” espera conseguir una reacción de los desarrolladores de software SCADA, cuyos productos han sido pasados por alto por parte de la comunidad de investigadores de seguridad hasta la aparición del gusano Stuxnet en 2012.

Considerado como uno de los malware más sofisticados de todos los tiempso, Stuxnet explotó fallos en el software SCADA para inyectar código malicioso en los sistemas de control industrial utilizados para controlar las centrifugadoras de enriquecimiento de uranio de la planta nuclear de Natanz en Irán.

La mayoría de los problemas de seguridad descubiertos por el proyecto Basecamp se deben a fallos de diseño y un montón de características que se pueden aprovechar para propósitos maliciosos. Se cree que hacer públicos estas vulnerabilidades no parcheadas ha tenido un efecto positivo para los vendedores y les ha llevado a darse cuenta del problema.