Dos investigadores de seguridad descubrieron una vulnerabilidad crítica en un sistema de control industrial ampliamente utilizado por los militares, los hospitales y otras organizaciones, la cual permitiría que los atacantes controlen remotamente cerraduras electrónicas, sistemas de iluminación, ascensores, electricidad y sistemas de calderas, cámaras de video vigilancia, alarmas y otras instalaciones de construcción críticos.
De acuerdo con una nota publicada por Wired.com, la vulnerabilidad en Tridium Niagara AX Framework permite que un atacante tenga acceso remoto a archivos config.bog del sistema, los cuales contienen todos los datos de configuración del sistema, incluyendo nombres de usuario y contraseñas para iniciar sesión en estaciones de trabajo de operador y control de los sistemas que son administrados por éstas.
Billy Rios y McCorkle Terry, destacados investigadores de seguridad en Cylance, han encontrado numerosas vulnerabilidades en el sistema Tridium y otros sistemas de control industrial en los últimos dos años, y hace unos días hicieron una demostración de un ataque de día cero, durante un foro de seguridad de Kaspersky Lab. El ataque se aprovecha de una vulnerabilidad de control remoto, pre-autentificada, que al ser combinada con un error de escala de privilegios, les dio acceso a la raíz del sistema, que es la base de los dispositivos.
La vulnerabilidad permite acceso a nivel de raíz al sistema SoftJACE de Tridium -básicamente un sistema Windows con una máquina virtual Java y el software cliente Tridium- así como todo el software de la empresa.
Los investigadores informaron a Tridium sobre la vulnerabilidad en diciembre pasado y los desarrolladores ya trabajan en un parche que esperan lanzar este mes.
Niagara Framework es la plataforma para millones de sistemas de control vendidos por Tridium en todo el mundo. Pero, en un artículo publicado por el Washington Post el año pasado, la compañía dijo que creía que los ataques a sus sistemas eran poco probables porque los sistemas eran oscuros y no solían ser objetivo de los hackers.
Estos sistemas estarían protegidos si no se conectaran a internet u otros sistemas, pero como Rios y McCorkle señalaron en su demostración, la documentación de producto del propio Tridium indica que es ideal su gestión remota a través de internet.
De acuerdo con Wired, actualmente se utilizan sistemas Tridium para gestionar HVAC, la iluminación y la seguridad en edificios de oficinas federales, así como en la cocina y refrigeración de hospitales, entre otras cosas. Algunas de las instalaciones que podrían verse afectadas incluyen un complejo de oficinas del gobierno en Chicago, el FBI, la DEA, el Servicio de Alguaciles de E.U., el IRS y la Oficina de Pasaportes en Estados Unidos.
Los sistemas también se utilizan en un centro de entrenamiento del ejército británico, en las instalaciones de fabricación de Boeing en Renton, Washington, en el aeropuerto Changi de Singapur, el Four Points Sheraton Hotel en Sydney, Australia, entre otras instalaciones alrededor del mundo.
Rios y McCorkle llevaron a cabo su investigación en una caja Tridium que compraron en eBay. El dispositivo venía con documentación que contenga el nombre de usuario y la contraseña por defecto para administrar la plataforma.