Los investigadores de seguridad han descubierto numerosas vulnerabilidades en los dispositivos de Honeywell utilizados en industrias críticas que, si se aprovechan, podrían permitir que los piratas informáticos provoquen interrupciones físicas y puedan afectar la seguridad de las vidas humanas.
Los investigadores de Armis, una empresa de ciberseguridad especializada en seguridad de activos, descubrieron nueve vulnerabilidades en los productos del sistema de control distribuido (DCS) Experion de Honeywell. Estos son sistemas de control industrial automatizados digitales que se utilizan para controlar grandes procesos industriales en industrias críticas, como la energía y la farmacéutica, donde la alta disponibilidad y las operaciones continuas son fundamentales.
Las vulnerabilidades, siete de las cuales han recibido una calificación de gravedad crítica, podrían permitir que un atacante ejecute de forma remota código no autorizado tanto en el servidor como en los controladores de Honeywell, según Armis. Un atacante necesitaría acceso a la red para explotar las fallas, que se pueden obtener al comprometer un dispositivo dentro de una red, desde una computadora portátil hasta una máquina expendedora. Sin embargo, los errores permiten el acceso no autenticado, lo que significa que un atacante no necesitaría iniciar sesión en el controlador para explotarlo.
Si bien no ha habido evidencia de explotación activa, Armis le dice a TechCrunch que los piratas informáticos podrían usar estas fallas para hacerse cargo de los dispositivos y alterar el funcionamiento del controlador DCS.
“Los peores escenarios que se pueden imaginar desde una perspectiva comercial son cortes completos y falta de disponibilidad. Pero hay escenarios peores que ese, incluidos los problemas de seguridad que pueden afectar la vida humana”, dijo a TechCrunch Curtis Simpson, CISO de Armis.
Simpson dijo que la naturaleza de los errores significa que un atacante puede ocultar estos cambios de la estación de trabajo de ingeniería que administra el controlador DCS. “Imagine que tiene un operador con todas las pantallas controlando la información de la planta, en este ambiente, todo está bien”, agregó. “Cuando se trata de abajo en la planta, todo está esencialmente en llamas”.
Esto es particularmente problemático para la industria minera de petróleo y gas, dice Armis, donde operan los sistemas DCS de Honeywell. Entre los clientes de Honeywell se encuentran el gigante de la energía Shell, las agencias gubernamentales de EE. UU., incluido el Departamento de Defensa y la NASA, y la empresa biofarmacéutica basada en la investigación AstraZeneca, según el sitio web de Honeywell.
“Si puede interrumpir la infraestructura crítica, puede interrumpir la capacidad de un país para operar de muchas maneras diferentes”, dijo Simpson. “Recuperarse de esto también sería una pesadilla. Si observa la omnipresencia de este tipo de ataque, junto con la falta de conciencia cibernética sobre este ecosistema, la reconstrucción podría costarles a las organizaciones millones de dólares por hora”.
Armis le dice a TechCrunch que alertó a Honeywell sobre las vulnerabilidades, que afectan a varias de sus plataformas DCS, incluido Honeywell Experion Process Knowledge System, las plataformas LX y PlantCruise, y el controlador C300 DCS, en mayo. Honeywell puso a disposición parches el mes siguiente e insta a todas las organizaciones afectadas a que los apliquen de inmediato.
Cuando se le contactó para hacer comentarios, la portavoz de Honeywell, Caitlin E. Leopold, dijo: “Hemos estado trabajando con ARMIS en este tema como parte de un proceso de divulgación responsable. Hemos lanzado parches para resolver la vulnerabilidad y notificado a los clientes afectados. No hay explotaciones conocidas de esta vulnerabilidad en este momento. Los propietarios de Experion C300 deben continuar aislando y monitoreando su red de control de procesos y aplicando los parches disponibles lo antes posible”.
