Vulnerabilidades potencialmente sérias descobertas por pesquisadores em um produto PiiGAB podem expor organizações industriais a ataques remotos de hackers.
A PiiGAB é uma empresa com sede na Suécia que fornece soluções de hardware e software para automação industrial e predial.
Os pesquisadores Floris Hendriks e Jeroen Wijenbergh realizaram uma avaliação de segurança aprofundada do gateway/conversor M-Bus 900s da PiiGAB como parte de seu mestrado em segurança cibernética na Radboud University, na Holanda. O produto é projetado para o monitoramento remoto de dispositivos usando o protocolo M-Bus.
“Por exemplo, o dispositivo está conectado a medidores de eletricidade, medidores de água, mas também bombas de calor, unidades de resfriamento e dispositivos PLC. Isso significa que este produto pode ser usado para se comunicar com um grande ecossistema de dispositivos ICS”, disseram os pesquisadores Cibersegurança Notícias.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou na quinta-feira um comunicado descrevendo as vulnerabilidades descobertas por Hendriks e Wijenbergh no produto PiiGAB.
O fornecedor foi notificado e lançou atualizações que devem resolver as falhas de segurança.
De acordo com consultoria CISAos dois pesquisadores descobriram nove tipos de vulnerabilidades, incluindo injeção de código, limitação de taxa de tentativa de login, credenciais codificadas e de texto simples, senha fraca, script entre sites (XSS) e problemas de falsificação de solicitação entre sites (CSRF).
Um invasor pode explorar as falhas para executar comandos arbitrários, lançar ataques de força bruta, obter acesso ao sistema, obter privilégios elevados e induzir usuários legítimos a executar comandos maliciosos. A maioria das falhas recebeu classificações de gravidade ‘crítica’ ou ‘alta’.
“Algumas das vulnerabilidades não exigem privilégios”, explicaram os pesquisadores. “Por exemplo, inicialmente era possível usar força bruta nas credenciais de login ou ignorar a autenticação usando falsificações de solicitação entre sites. Outras vulnerabilidades, como a injeção de código, só podem ser exploradas com privilégios baixos.”
A exploração das vulnerabilidades contra uma organização industrial pode ter sérias consequências.
“Como esses dispositivos estão conectados a sistemas de controle industrial, como PLCs, sensores e atuadores, hackeá-los pode ter um impacto significativo nos processos industriais”, disseram Hendriks e Jeroen Wijenbergh. “Usando as explorações, um invasor é capaz de obter remotamente (raiz) controle sobre o dispositivo PiiGAB. Consequentemente, um invasor pode, por exemplo, conduzir uma rede dinâmica, o que permite que um invasor obtenha acesso à rede industrial local.”
“Ademais, também é possível monitorar a rede para interceptar credenciais usadas para acessar outros sistemas. Por fim, ataques de negação de serviço e exfiltração de dados confidenciais também podem ser conduzidos”, acrescentaram.
A Pesquisa Shodan mostra mais de 600 instâncias do PiiGAB M-Bus expostas à Internet, que podem ser vulneráveis a ataques remotos lançados diretamente da Web. No entanto, os pesquisadores apontaram que algumas organizações usam VPNs para mitigar possíveis ataques externos.
“Achamos que esta é uma boa maneira de fortalecer a segurança. No entanto, gostaríamos de enfatizar que o software deve ser seguro e uma VPN deve ser vista como um segundo fator”, observaram os pesquisadores.
A pesquisa de Shodan mostra que os dispositivos expostos à Internet estão localizados principalmente na Suécia, bem como em alguns outros países nórdicos, mas a consultoria da CISA diz que o produto afetado é usado mundialmente no setor de energia.
