Esquivar vulnerabilidades críticas en entornos OT.

Disponemos de soluciones que permiten reducir el riesgo ocasionado por las vulnerabilidades críticas del sistema operativo.

El pasado martes, Microsoft liberó varias actualizaciones de seguridad para corregir 117 vulnerabilidades, 8 de las cuales son (eran) de día cero y están siendo explotadas activamente.
Estas vulnerabilidades afectan a multitud de servicios de Microsoft: desde CIFS, Bing, Microsoft Dynamics, Exchange server, Office, Scripting Engine, DNS, Windows Shell, Windows SMB o la propia pila TCP/IP.

Las principales vulnerabilidades que han sido parcheadas son:

  • CVE-2021-34448: vulnerabilidad crítica (CVSS 6.8) que permite la ejecución de código remoto en cualquier versión de Windows, incluyendo los servidores.
  • CVE-2021-34458: vulnerabilidad crítica (CVSS 9.9) que afecta al kernel de Windows y puede permitir la ejecución de código remoto.
  • CVE-2021-31979 y CVE-2021-33771: vulnerabilidad con CVSS de 7.8 del kernel de Windows que puede permitir una escalada de privilegios
  • CVE-2021-33781: vulnerabilidad con CVSS 8.1 que afecta a las funciones de seguridad de Active Directory
  • CVE-2021-34494: fallo importante en el servicio DNS de Windows
    y muchas más…

Sin olvidarnos de CVE-2021-34527, o “PrintNightmare” fallo muy grave que afecta a la cola de impresión de la mayoría de versiones de Windows y que ha provocado que, en muchos casos, la única solución sea deshabilitar la impresión, con las obvias molestias que implica no poder imprimir.

fallo de impresión

Por tanto, la recomendación obvia es ACTUALIZAR e instalar los parches de seguridad.

Pero, ¿y en entornos OT?

Recordemos que en entornos industriales nos encontramos con multitud de dispositivos que seguramente están expuestos a estas vulnerabilidades, pero la actualización de sus sistemas operativos, como cualquier otro cambio, debe ejecutarse de forma procedimentada y estandarizada.

flujo información entornos OT

En estos entornos, nos encontramos que el tiempo necesario para probar, validar y desplegar los parches es tan grande que suele solaparse con la siguiente “remesa” de parches a evaluar.

El resultado es que no se parchea dejando los equipos expuestos.

Siguiendo una estrategia de defensa en profundidad, si no podemos mitigar la vulnerabilidad que pone en riesgo nuestros activos, lo que se propone es introducir medidas complementarias que permiten incrementar el nivel de protección. Para estos casos proponemos 3 vías complementarias de actuación:

A) Sistema de monitorización, detección de intrusiones y anomalías.

Estos sistemas evalúan constantemente el tráfico que circula por la red de manera no intrusiva para alertar si se detecta cualquier elemento que sea sospechoso.

Normalmente se instalan sondas de captura en los puntos estratégicos de la red para analizar el tráfico de los ataques conocidos así como perfilar el comportamiento “normal” de los dispositivos de red y ser capaz de diferenciar los comportamientos anómalos.

Radiflow iSID

Radiflow iSID es un buen ejemplo de soluciones de este tipo.

B)  Sistemas de fortificación de los equipos finales expuestos a estas vulnerabilidades sin la necesidad de instalar los parches.

TrendMicro StellarEnforce es un buen ejemplo, esta solución permite crear una lista blanca del código que está permitido ejecutarse en el equipo. Todo intento de alteración o de ejecución de aplicaciones no permitidas es detectado e interrumpido. De esta manera, somos capaces de proteger los equipos de vulnerabilidades 0-day sin depender de los parches oficiales, ni de actualizaciones recurrentes de patrones de ataques ni la necesidad de conectarnos con nada adicional para mantener el sistema actualizado.

vulnerabilidades Malware

C) Equipos muy críticos.

Para aquellos equipos tan críticos que además no se les puede instalar nada, se puede optar por la tecnología TXOne e intercalar un dispositivo IPS en su conexión de red. Con esta solución, se consigue aislar a los activos críticos de los ataques de red sin tener que recurrir a una hipersegmentación de la misma.

No solucionaremos la vulnerabilidad presente, pero impediremos que cualquier tráfico de red malicioso pueda explotarla.

vulnerabilidad network OT

En definitiva, aunque no podamos aplicar los parches de seguridad debido a la idiosincrasia del entorno, disponemos de soluciones que permiten reducir el riesgo ocasionado por las vulnerabilidades del sistema operativo.