Análisis del estado de las vulnerabilidades de SCADA HMI
Un estudio de Trend Micro Zero Day Initiative (ZDI) ha encontrado que la mayoría de estas debilidades se encuentran en las áreas de corrupción de memoria, de administración de credenciales deficiente, de falta de autenticación/autorización y valores predeterminados inseguros, y de errores de inyección de código.
Los sistemas SCADA ejecutan varias de las infraestructuras críticas de diversos sectores en todo el mundo, lo que les convierte en atractivos para los cibercriminales. Los creadores de amenazas pueden usar su acceso a los sistemas SCADA para recopilar información como el diseño de una instalación, umbrales críticos o ajustes y configuraciones de dispositivos para utilizarlos en ataques posteriores. Incluso, la posibilidad de desencadenar situaciones peligrosas y letales que implican a materiales inflamables.
Los atacantes se infiltran en estos sistemas a través de diversos medios, uno de los cuales es a través de la explotación de vulnerabilidades de software que prevalecen en las HMI (Interfaz de Máquina Humana que muestra datos de máquinas a un humano y acepta comandos de un operador humano a máquinas). A menudo, el operador controla un sistema SCADA a través del HMI, que con frecuencia se instala en una ubicación habilitada para la red. Como tal, el HMI debe ser considerado como un objetivo prioritario dentro de un sistema SCADA, por lo que solo debería instalarse en una red air gap – un sistema informático que no se conecta a Internet por motivos de seguridad- o una red aislada sobre una red confiable.
El equipo Trend Micro Zero Day Initiative (ZDI) ha examinado el estado actual de la seguridad de SCADA HMI revisando todas las vulnerabilidades publicadas en el software SCADA que se han reparado desde 2015 y 2016, incluyendo 250 vulnerabilidades adquiridas a través del programa ZDI. Los investigadores de la compañía han encontrado que la mayoría de estas vulnerabilidades se encuentran en las áreas de corrupción de memoria (20,44%), administración de credenciales deficiente (18,98%), falta de autenticación/autorización y valores predeterminados inseguros (23,36%), y errores de inyección de código (8,76%), todos los cuales se pueden prevenir a través de prácticas seguras de desarrollo.
Trend Micro también ha observado que la media de tiempo que transcurre desde que se revela un error a un fabricante de SCADA hasta que se libera un parche llega hasta los 150 días, 30 días más de lo que requeriría un software ampliamente desplegado, como los de Microsoft o Adobe, pero significativamente menor que las ofertas de empresas como HPE e IBM. Esto significa que transcurre una media de cinco meses antes de que las vulnerabilidades de SCADA sean reparadas. Esto, por supuesto, difiere entre los fabricantes. Para algunos proveedores puede pasar tan solo una semana, mientras que los más grandes pueden tardar hasta 200 días para hacerlo.
