{"id":7404,"date":"2022-09-29T15:21:58","date_gmt":"2022-09-29T18:21:58","guid":{"rendered":"https:\/\/hsinet.com.br\/?p=7404"},"modified":"2022-09-29T16:54:58","modified_gmt":"2022-09-29T19:54:58","slug":"detalhes-divulgados-apos-a-schneider-electric-corrigir-uma-falha-critica-que-permite-a-invasao-de-plcs","status":"publish","type":"post","link":"https:\/\/hsinet.com.br\/es\/2022\/09\/29\/detalhes-divulgados-apos-a-schneider-electric-corrigir-uma-falha-critica-que-permite-a-invasao-de-plcs\/","title":{"rendered":"Detalhes divulgados ap\u00f3s a Schneider Electric corrigir uma falha cr\u00edtica que permite a invas\u00e3o de PLCs"},"content":{"rendered":"\n<p>Nos \u00faltimos meses, a Schneider Electric lan\u00e7ou patches para sua plataforma EcoStruxure e alguns controladores l\u00f3gicos program\u00e1veis \u200b\u200b(PLCs) Modicon para resolver uma vulnerabilidade cr\u00edtica que foi divulgada h\u00e1 mais de um ano.<\/p>\n\n\n\n<p>A falha em quest\u00e3o, rastreada como CVE-2021-22779, foi descrita pela gigante industrial como um problema de desvio de autentica\u00e7\u00e3o que poderia permitir acesso n\u00e3o autorizado no modo de leitura e grava\u00e7\u00e3o a um controlador Modicon M580 ou M340 falsificando comunica\u00e7\u00f5es Modbus entre o controlador e o software de engenharia.<\/p>\n\n\n\n<p>A Schneider Electric creditou pesquisadores de v\u00e1rias empresas por relatar essa vulnerabilidade, incluindo Fortinet, Tenable, Kaspersky, Armis e Bolean Tech.<\/p>\n\n\n\n<p>Armis, que apelidou a falha de ModiPwn, divulgou detalhes em julho de 2021, quando alertou que um invasor n\u00e3o autenticado que tem acesso \u00e0 rede ao PLC alvo poderia explorar a vulnerabilidade para assumir o controle total do dispositivo alvo. Um invasor pode alterar a opera\u00e7\u00e3o do PLC enquanto oculta as modifica\u00e7\u00f5es maliciosas da esta\u00e7\u00e3o de trabalho de engenharia que gerencia o controlador.<\/p>\n\n\n\n<p>No momento da divulga\u00e7\u00e3o de Armis, as mitiga\u00e7\u00f5es estavam dispon\u00edveis, mas nenhum patch havia sido lan\u00e7ado pela Schneider Electric. O fornecedor come\u00e7ou a lan\u00e7ar patches em mar\u00e7o de 2022. As corre\u00e7\u00f5es foram lan\u00e7adas inicialmente para o software EcoStruxure e nos meses seguintes a empresa anunciou a disponibilidade de patches de firmware para os PLCs. A rodada final de patches foi lan\u00e7ada em agosto.<\/p>\n\n\n\n<p>Agora que o problema parece ter sido resolvido, a equipe ICS-CERT da Kaspersky publicou seu pr\u00f3prio relat\u00f3rio sobre CVE-2021-22779 e o protocolo UMAS (Unified Messaging Application Services) que foi utilizado neste ataque.<\/p>\n\n\n\n<p>UMAS \u00e9 um protocolo propriet\u00e1rio da Schneider que \u00e9 usado para configurar e monitorar os PLCs da empresa.<\/p>\n\n\n\n<p>De acordo com a Kaspersky, a hist\u00f3ria do CVE-2021-22779 remonta a 2020, quando os pesquisadores descobriram o CVE-2020-28212. Essa falha de seguran\u00e7a permite que um invasor remoto obtenha o controle de um PLC com os privil\u00e9gios de um operador j\u00e1 autenticado usando um ataque de for\u00e7a bruta.<\/p>\n\n\n\n<p>Para evitar tais ataques, a Schneider Electric lan\u00e7ou um novo recurso em seu produto EcoStruxure, chamado Application Password. Esse recurso deve impedir ataques de for\u00e7a bruta que poderiam obter uma informa\u00e7\u00e3o necess\u00e1ria para contornar a autentica\u00e7\u00e3o e sequestrar o PLC de destino.<\/p>\n\n\n\n<p>No entanto, o CVE-2021-22779 permite que um invasor ignore a autentica\u00e7\u00e3o mesmo se a Senha do Aplicativo estiver configurada e fa\u00e7a altera\u00e7\u00f5es n\u00e3o autorizadas no PLC.<\/p>\n\n\n\n<p>\u201cFoi estabelecido que o protocolo UMAS, em sua implementa\u00e7\u00e3o anterior \u00e0 vers\u00e3o em que a vulnerabilidade CVE-2021-22779 foi corrigida, apresentava defici\u00eancias significativas que tiveram um efeito cr\u00edtico na seguran\u00e7a dos sistemas de controle baseados em controladores SE\u201d, explicou Kaspersky .<\/p>\n\n\n\n<p>A empresa de seguran\u00e7a cibern\u00e9tica observou que uma pesquisa Shodan mostra cerca de 1.000 dispositivos Modicon M340\/M580 expostos \u00e0 Internet e acredita que isso \u00e9 apenas a ponta do iceberg.<\/p>\n\n\n\n<p><strong>Conhe\u00e7a o octoplant! Solu\u00e7\u00e3o para gest\u00e3o de ativos de OT, governan\u00e7a e cyber seguran\u00e7a. O octoplant realiza a gest\u00e3o de todas as altera\u00e7\u00f5es realizadas no c\u00f3digo, e mais, identifica as vulnerabilidades atuais para seus ativos de OT gerenciados.<br><\/strong><br><strong>Esteja protegido contra essas amea\u00e7as:  <a href=\"https:\/\/hsinet.com.br\/octoplant\/\">https:\/\/hsinet.com.br\/octoplant\/<\/a><\/strong><\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-medium\"><a href=\"https:\/\/hsinet.com.br\/octoplant\/\"><img decoding=\"async\" width=\"300\" height=\"107\" src=\"https:\/\/hsinet.com.br\/wp-content\/uploads\/2022\/05\/octoplant-300x107.png\" alt=\"\" class=\"wp-image-5047\" srcset=\"https:\/\/hsinet.com.br\/wp-content\/uploads\/2022\/05\/octoplant-300x107.png 300w, https:\/\/hsinet.com.br\/wp-content\/uploads\/2022\/05\/octoplant-1024x365.png 1024w, https:\/\/hsinet.com.br\/wp-content\/uploads\/2022\/05\/octoplant-768x274.png 768w, https:\/\/hsinet.com.br\/wp-content\/uploads\/2022\/05\/octoplant.png 1446w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><\/figure>\n<\/div>\n\n\n<p>Fonte:&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/thehackernews.com\/2022\/07\/hackers-distributing-password-cracking.html\" target=\"_blank\"><\/a><a href=\"https:\/\/www.securityweek.com\/details-disclosed-after-schneider-electric-patches-critical-flaw-allowing-plc-hacking\">Details Disclosed After Schneider Electric Patches Critical Flaw Allowing PLC Hacking<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nos \u00faltimos meses, a Schneider Electric lan\u00e7ou patches para sua plataforma EcoStruxure e alguns controladores l\u00f3gicos program\u00e1veis \u200b\u200b(PLCs) Modicon para resolver uma vulnerabilidade cr\u00edtica que foi divulgada h\u00e1 mais de um ano. A falha em quest\u00e3o, rastreada como CVE-2021-22779, foi descrita pela gigante industrial como um problema de desvio de autentica\u00e7\u00e3o que poderia permitir acesso [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":7412,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-7404","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/posts\/7404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/comments?post=7404"}],"version-history":[{"count":4,"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/posts\/7404\/revisions"}],"predecessor-version":[{"id":7414,"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/posts\/7404\/revisions\/7414"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/media\/7412"}],"wp:attachment":[{"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/media?parent=7404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/categories?post=7404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hsinet.com.br\/es\/wp-json\/wp\/v2\/tags?post=7404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}