viernes, 24 de agosto de 2012

Grave fallo (otra vez) en dispositivos RuggedCom, usado para controlar sistemas críticos


Por segunda vez en lo que va de año, el investigador Justin W. Clarke, ha publicado una grave vulnerabilidad en RuggedOS, sistema operativo de los dispositivos del fabricante RuggedCom. En esta ocasión, Clarke ha descubierto que la clave privada RSA, utilizada para cifrar el tráfico mediante SSL, se encuentra incrustada en el propio firmware.

RuggedCom es una empresa muy popular que comercializa equipos de comunicación "para entornos duros". "Nuestros productos dan lo mejor de sí, cuando su entorno es el peor". Es usado para todo tipo de comunicaciones críticas, tales como el control del tráfico, estaciones eléctricas, sistemas militares y plantas industriales. Entre ellos, varias herramientas para sistemas SCADA.

En una conferencia en Los Ángeles la semana pasada, Clarke reveló que la clave privada RSA se encuentra almacenada "tal cual" en el firmware del propio dispositivo. Esto significa que cualquier persona podría extraerla si tuviera acceso físico y el dispositivo necesario. Clarke consiguió su primer dispositivo a través de eBay. Con esa clave, se puede descifrar todo el tráfico cifrado con SSL y por el que se comunica el dispositivo. Un atacante solo tendría que "escuchar" la conversación (capturar el tráfico) y verla en texto claro. Supone el compromiso de las comunicaciones con cualquier dispositivo de la marca, puesto que todos comparten la misma clave privada.

No es la primera vez que la empresa canadiense, subsidiaria de Siemens, comete un gravísimo error. En abril el propio Clarke hizo público un fallo gravísimo en este software. Existe una cuenta (llamada "factory") de acceso al sistema RuggedOS no documentada y que no se podía deshabilitar. Esta puerta trasera se incluía en la mayoría de los dispositivos desde su salida de fábrica y permitía a un atacante remoto acceder a aquellos vulnerables con sólo conocer su dirección MAC, que es la semilla que se utiliza para generar la dinámicamente la contraseña.

Este fallo, más propio de dispositivos caseros (de hecho, recuerda a los problemas que han sufrido usuarios de ADSL no hace tanto), fue comunicado por Clark en abril de 2011 a la empresa. Cansado de que no lo arreglaran, lo hizo público en abril de 2012. En junio lo solucionaron.

En esta ocasión, tras ver la respuesta del fabricante en el pasado, Clarke ha elegido no notificar previamente y directamente hacer público el fallo de seguridad, tanto en la conferencia mencionada como a través de un boletín del ISC-CERT.

RuggedCom confirma que está investigando el problema y publicará información actualizada tan pronto le sea posible.

Mas información:

ICS-ALERT-12-234-01—KEY MANAGEMENT ERRORS IN RUGGEDCOM’S RUGGED OPERATING SYSTEM

RuggedCom - Backdoor Accounts in my SCADA network? You don't say...

Latest news on ROS Device Security Issue



Francisco López

Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada