Vulnerabilidades críticas en los puntos de acceso inalámbricos industriales de Advantech (Advantech industrial wireless) exponen la infraestructura crítica a amenazas cibernéticas
Vulnerabilidades críticas en Advantech industrial wireless. Investigadores de Nozomi Networks Labs analizaron la versión 1.6.2 del EKI-6333AC-2G, un punto de acceso inalámbrico de grado industrial, descubriendo 20 vulnerabilidades, cada una con un identificador CVE distinto. Estas vulnerabilidades presentan riesgos graves, permitiendo la ejecución remota de código sin autenticación con privilegios de root, lo que puede comprometer completamente la confidencialidad, integridad y disponibilidad de los dispositivos afectados.
A medida que las redes industriales se expanden a dominios inalámbricos, encuentran nuevas vulnerabilidades que ponen en peligro la infraestructura crítica a través de ataques cibernéticos. Este cambio subraya la importancia de asegurar los dispositivos inalámbricos en entornos industriales. Desde la introducción de Guardian Air, Nozomi Networks ha enfatizado la necesidad urgente de una mayor protección, especialmente para los sistemas inalámbricos.
El Advantech EKI-6333AC-2G
Conocido por su resistencia en entornos desafiantes, el dispositivo Advantech EKI-6333AC-2G se emplea en diversos sectores, incluidas las líneas de ensamblaje de automóviles y las operaciones de almacenamiento y distribución dentro de la logística. Diseñado para entornos desafiantes, el dispositivo proporciona conectividad Wi-Fi de doble banda estable.
La investigación de Nozomi se centró en las áreas operativas clave del EKI-6333AC-2G, incluidos sus protocolos de conectividad, manejo de datos y mecanismos de seguridad, que son críticos para garantizar una comunicación segura e ininterrumpida en entornos industriales. Estas áreas presentan posibles puntos de entrada para los hackers tanto a nivel cableado como dentro del espectro inalámbrico.
Los investigadores encontraron que los hackers podrían ejecutar ataques remotos sin conectarse a la red, aprovechando el espectro inalámbrico para ataques de proximidad física. Las vulnerabilidades pueden interrumpir procesos esenciales como las líneas de producción automatizadas, permitir el acceso persistente a puertas traseras y permitir a los atacantes infiltrarse en redes internas. Los investigadores demostraron cómo dos vulnerabilidades específicas pueden combinarse para lograr la ejecución remota completa de código y obtener acceso root en los dispositivos afectados.
Los dispositivos Advantech se utilizan en diversos entornos, incluida la fabricación, la logística y la infraestructura crítica, lo que subraya las implicaciones generalizadas de estas vulnerabilidades. Advantech ha lanzado un nuevo firmware para mitigar estas vulnerabilidades, y Nozomi Networks alienta a realizar actualizaciones inmediatas para protegerse contra el acceso no autorizado.
Varias de estas vulnerabilidades han sido evaluadas como críticas, dado que podrían llevar a la ejecución remota de código con privilegios de root sobre el punto de acceso. Esto permitiría a un actor malicioso comprometer la confidencialidad, integridad y disponibilidad del dispositivo.
Vectores de Ataque Potenciales
Se han identificado dos vectores de ataque potenciales. El Vector de Ataque 1 (LAN/WAN) involucra escenarios donde un atacante puede interactuar directamente con el punto de acceso a través de la red. En tales casos, pueden explotar vulnerabilidades enviando solicitudes maliciosas al servicio vulnerable. El Vector de Ataque 2 (Over-the-Air) presenta un escenario diferente donde el atacante no necesita estar conectado a una red cableada (LAN/WAN) o inalámbrica (WLAN). En su lugar, pueden explotar el espectro inalámbrico para ejecutar código en el dispositivo simplemente estando en proximidad física.
Dado estos niveles de severidad, un usuario malicioso podría lograr resultados que incluyen acceso persistente a recursos internos, denegación de servicio (DoS) y movimiento lateral. Una vez que se logra la ejecución de código en el dispositivo, un usuario malicioso puede implantar una puerta trasera para mantener el acceso continuo. Esta configuración permite escenarios donde se obtiene acceso inicial a través de una infección de malware, como por correo electrónico, y se establece persistencia comprometiendo el dispositivo Advantech.
En situaciones donde un punto de acceso vulnerable sirve como la red troncal que controla RGVs inalámbricos que navegan por diseños de producción complejos, la capacidad de manipular estos puntos de acceso críticos podría interrumpir gravemente los procesos de automatización en las líneas de producción.
Obtener privilegios de root en el dispositivo permite al atacante transformar el punto de acceso en una estación de trabajo Linux completamente funcional, proporcionando un nuevo punto de apoyo para una mayor exploración y penetración dentro de la red. Esto se puede lograr realizando ataques de «man-in-the-middle» para capturar credenciales transmitidas a través de protocolos no cifrados o explotando vulnerabilidades conocidas en dispositivos no parcheados utilizando exploits disponibles públicamente.
Cómo ir más allá
Aunque el atacante ya podría controlar la configuración del dispositivo a través de su interfaz web, podrían llevarlo un paso más allá encadenando CVE-2024-50359. Esta vulnerabilidad implica una inyección de comandos autenticada que puede activarse a través del panel administrativo, permitiendo una manipulación más profunda del sistema. Dado que el proceso responsable de ejecutar la aplicación web se ejecuta con privilegios de root en el dispositivo Advantech, no se encuentran restricciones particulares en la ejecución de comandos arbitrarios inyectados sobre el dispositivo a nivel del sistema operativo.
Uno de estos comandos podría ser permitir una conexión persistente de vuelta a una máquina C&C con acceso a Internet a través de un shell inverso. Esto permitiría a los atacantes obtener control remoto sobre el dispositivo comprometido, ejecutar comandos y penetrar aún más en la red, extrayendo datos o desplegando scripts maliciosos adicionales.
Después del triaje y la confirmación de los problemas, Advantech lanzó la versión de firmware 1.6.5 para ambos, el EKI-6333AC-2G y el EKI-6333AC-2GD, y la versión 1.2.2 para el EKI-6333AC-1GPO para abordar las vulnerabilidades. El proceso de divulgación responsable reveló que el EKI-6333AC-2GD y el EKI-6333AC-1GPO se vieron afectados debido al código de firmware compartido. Advantech respondió rápidamente lanzando las versiones de firmware actualizadas. Los investigadores instan a los propietarios de activos a actualizar a estas últimas versiones para proteger sus redes y dispositivos contra el acceso no autorizado.
Informe de Nozomi
En junio, los investigadores de Nozomi delinearon los once principales riesgos de implementar HMIs (interfaces hombre-máquina) basadas en navegador en entornos OT (tecnología operativa) controlados, enfatizando los desafíos de un enfoque centrado en la web. El análisis concluye su proceso de reserva de CVE, permitiendo la publicación de vulnerabilidades encontradas en el AiLux RTU62351B, el dispositivo final en su estudio. Además, los Labs compartieron ideas en un libro blanco que analizó HMIs basadas en navegador en cinco dispositivos de proveedores de alto perfil.
Vulnerabilidades críticas en Advantech industrial wireless
Para más información contacta con ACIBIN