Por
segunda vez en lo que va de año, el investigador Justin W. Clarke, ha publicado
una grave vulnerabilidad en RuggedOS,
sistema operativo de los dispositivos del fabricante RuggedCom. En esta
ocasión, Clarke ha descubierto que la clave privada RSA, utilizada para cifrar
el tráfico mediante SSL, se encuentra incrustada en el propio firmware.
RuggedCom es una empresa muy popular que
comercializa equipos de comunicación "para
entornos duros". "Nuestros
productos dan lo mejor de sí, cuando su entorno es el peor". Es usado
para todo tipo de comunicaciones críticas, tales como el control del tráfico,
estaciones eléctricas, sistemas militares y plantas industriales. Entre ellos, varias
herramientas para sistemas SCADA.
En una conferencia en Los Ángeles
la semana pasada, Clarke reveló que la
clave privada RSA se encuentra almacenada "tal cual" en el firmware del propio dispositivo. Esto
significa que cualquier persona podría extraerla si tuviera acceso físico y el
dispositivo necesario. Clarke consiguió su primer dispositivo a través de eBay.
Con esa clave, se puede descifrar todo
el tráfico cifrado con SSL y por el que se comunica el dispositivo. Un
atacante solo tendría que "escuchar"
la conversación (capturar el tráfico) y verla en texto claro. Supone el compromiso
de las comunicaciones con cualquier dispositivo de la marca, puesto que todos
comparten la misma clave privada.
No es la primera vez que la
empresa canadiense, subsidiaria de Siemens, comete un gravísimo error. En abril
el propio Clarke hizo público un fallo gravísimo en este software. Existe una
cuenta (llamada "factory") de
acceso al sistema RuggedOS no documentada y que no se podía deshabilitar. Esta puerta trasera se incluía en la mayoría de
los dispositivos desde su salida de fábrica y permitía a un atacante remoto
acceder a aquellos vulnerables con sólo conocer su dirección MAC, que es la
semilla que se utiliza para generar la dinámicamente la contraseña.
Este fallo, más propio de dispositivos caseros (de
hecho, recuerda a los problemas que han sufrido usuarios de ADSL no hace tanto), fue comunicado por Clark en abril
de 2011 a
la empresa. Cansado de que no lo arreglaran, lo hizo público en abril de 2012.
En junio lo solucionaron.
En esta ocasión, tras ver la
respuesta del fabricante en el pasado, Clarke ha elegido no notificar
previamente y directamente hacer público el fallo de seguridad,
tanto en la conferencia mencionada como a través de un boletín del ISC-CERT.
RuggedCom confirma que
está investigando el problema y publicará información actualizada tan
pronto le sea posible.
Mas información:
ICS-ALERT-12-234-01—KEY MANAGEMENT ERRORS IN RUGGEDCOM’S
RUGGED OPERATING SYSTEM
RuggedCom - Backdoor Accounts in my SCADA
network? You don't say...
Latest news
on ROS Device Security Issue
Francisco López
Sergio de los Santos
Twitter: @ssantosv
No hay comentarios:
Publicar un comentario