Buenas,
La seguridad en sistemas SCADA (Supervisory Control and Data Acquisition) sigue dando que hablar. No son frecuentes las vulnerabilidades que se encuentran en el software orientado a control industrial, pero cuando aparecen, suelen ser relevantes y de alto impacto.
Un investigador ha publicado recientemente código para explotar sistemas SCADA. Según declaraciones de Bruce Finisterre, autor del disclosure, dar a conocer públicamente los detalles del exploit responde a un llamamiento a los fabricantes de software SCADA, los cuales, según Finisterre «no están siendo responsables con lo que fabrican».
El código publicado explota una vulnerabilidad en CitectSCADA, un producto de control bastante extendido en la industria. El fabricante, Citect, ha emitido una nota al respecto anunciando la próxima publicación de una versión de CitecSCADA que corrige los problemas denunciados.
Los sistemas SCADA dan servicio a entornos donde es preciso el control industrial automatizado, entre las cuales podemos encontrar refinerías, plantas de depuración, estaciones hidráulicas y centrales de generación de energía, entre otras. Tiempo atrás hablamos de la conveniencia de hacer disclosure de vulnerabilidades en este tipo de programas, por el extremo impacto que puede causar la explotación de estos problemas.
Al hilo de lo anteriormente comentado, considero que denunciar problemas de seguridad es algo normal, y que debe hacerse, si bien soy de los que piensa que debe informarse al fabricante primero, darle tiempo para reaccionar, y una vez que éste haya actuado y haya trazado una estrategia para desplegar las actualizaciones correspondientes a su clientela, ya cada cual decide si debe o no debe publicar un código de explotación. Por la naturaleza de los sistemas SCADA y el tipo de operaciones que gobiernan, yo desde luego no considero adecuada la revelación sin tener plenas garantías de que las empresas que pueden verse impactadas no hayan tenido opción de corregir los problemas.
Hablando en general, y no específicamente del caso de CitectSCADA, hay que tener en cuenta que estas infraestructuras no se actualizan en dos minutos, y el riesgo de paralizar una central nuclear, térmica o una refinería, bien por explotación provocada por atacantes, bien por someter a los sistemas a actualizaciones urgentes sin las debidas pruebas, no debe tomarse a la ligera. Los investigadores deberían tener esto en cuenta antes de lanzar al público código de esta índole.
Lo comentan también en Slashdot. La polémica está servida.
Como apunte a la noticia decir que en proyectos como EmergingThreats y Snort ya están apareciendo reglas de detección para esta vulnerabilidad en sistemas SCADA. Concretamente la regla dentro de Emerging Threats tiene el sid 2008542.
DigitalBond Snort Rule
Un saludo.