Grave vulnerabilidad en PLC de Siemens.

Se ha descubierto una nueva vulnerabilidad muy grave que permite la ejecución de código de forma remota y sin necesidad de autenticarse.

La vulnerabilidad es la CVE-2020-15782 y afecta a las CPU SIMATIC S7-1200 y S7-1500 y podría permitir saltarse las protecciones de memoria de estos dispositivos para escribir o leer datos arbitrarios en áreas de memoria restringida y, con ello, elaborar ataques más sofisticados al disponer de acceso completo a la memoria del dispositivo.

Ingenieros de ciberseguridad de Claroty han identificado esta vulnerabilidad y muestran como un atacante podría aprovecharla, simplemente teniendo acceso al puerto TCP 102 del PLC, y escribir una shellcode directamente en la estructura del sistema operativo y, de esta manera, dar la capacidad de ejecutar código remoto y/o añadir características maliciosas ocultas.

En la siguiente entrada del blog de Claroty se explica en detalle cómo saltarse la sandbox de estos PLC.

Un ataque exitoso de esta vulnerabilidad puede resultar muy difícil de detectar ya que sería el propio PLC quien ejecutaría las acciones maliciosas directamente al proceso.

Como siempre, la solución pasa por mantener los sistemas actualizados y tener consciencia de cómo funcionan realmente las redes industriales gracias a soluciones de monitorización profunda.