Vulnerabilidad del enrutador industrial Milesight posiblemente explotada en ataques

Oct 07, 2023

Es posible que se haya aprovechado en los ataques una vulnerabilidad que afecta a los enrutadores industriales Milesight, rastreada como CVE-2023-4326.

Por

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

Una vulnerabilidad que afecta a algunos enrutadores industriales fabricados por el fabricante chino de productos de videovigilancia y IoT Milesight puede haber sido explotada en ataques, según la firma de inteligencia de vulnerabilidades y explotaciones VulnCheck.

Varios enrutadores celulares industriales de la serie UR de Milesight (Ursalink) se ven afectados por CVE-2023-43261, una vulnerabilidad grave que expone archivos de registro del sistema, como 'httpd.log'.

Los registros expuestos contienen contraseñas para administradores y otros usuarios, que pueden ser aprovechadas por atacantes remotos no autenticados para obtener acceso no autorizado al dispositivo objetivo. Las contraseñas no se almacenan en texto plano en los archivos de registro, pero se pueden descifrar fácilmente.

El investigador Bipin Jitiya reveló recientemente detalles de la vulnerabilidad e hizo público un exploit de prueba de concepto (PoC). Informó a Milesight sobre sus hallazgos, pero el proveedor dijo que estaba al tanto de la falla y lanzó parches antes de que el investigador se acercara.

De hecho, un análisis de varias versiones de firmware realizado por VulnCheck mostró que es probable que CVE-2023-43261 haya sido parcheado durante años.

Los motores de búsqueda Shodan y Censys muestran aproximadamente 5.500 dispositivos Milesight expuestos a Internet, pero sólo el 6,5% (menos de 400 dispositivos) parecen estar ejecutando versiones de firmware vulnerables.

Sin embargo, VulnCheck observó lo que podría ser una explotación a pequeña escala de la vulnerabilidad.

“Observamos 5.61.39.232 intentando iniciar sesión en seis sistemas el 2 de octubre de 2023. Las direcciones IP de los sistemas afectados se geolocalizan en Francia, Lituania y Noruega. No parecen estar relacionados y todos usan credenciales diferentes y no predeterminadas”, explicó VulnCheck en una publicación de blog.

“En cuatro sistemas, el atacante se autenticó exitosamente en el primer intento. Una vez, el atacante intentó dos contraseñas diferentes. Ambas contraseñas (fallida y exitosa) ya estaban presentes en httpd.log. Finalmente, en el último sistema, no pudieron autenticarse. El httpd.log tuvo muchos intentos de inicio de sesión pero ninguno exitoso. El atacante intentó todas las credenciales únicas que ya estaban en httpd.log y luego no hizo más intentos. Ese patrón podría ser razonablemente CVE-2023-43261”, añadió la empresa de seguridad.

En estos ataques, el hacker no realizó ningún cambio en el sistema comprometido, pero sí revisó todas las configuraciones y páginas de estado, lo que indica que pudo haber sido alguien realizando un reconocimiento.

"Algunas de las víctimas tenían servidores VPN configurados y el atacante expuso las credenciales de texto sin cifrar, lo que es suficiente para que el atacante acceda a la red ICS", señaló VulnCheck.

Según el proveedor, los enrutadores de la serie UR se pueden utilizar en diversos campos, incluida la automatización industrial, quioscos de autoservicio, semáforo, activos de redes inteligentes, equipos médicos y comercio minorista.

Relacionado: Vulnerabilidades sin parches exponen los enrutadores industriales Yifan a ataques

Relacionado: Docenas de vulnerabilidades de RCE afectan al enrutador industrial Milesight

Eduard Kovacs (@EduardKovacs) es editor jefe de SecurityWeek. Trabajó como profesor de TI en una escuela secundaria durante dos años antes de comenzar una carrera en periodismo como reportero de noticias de seguridad de Softpedia. Eduard es licenciado en informática industrial y máster en técnicas informáticas aplicadas a la ingeniería eléctrica.

Suscríbase al resumen por correo electrónico de SecurityWeek para mantenerse informado sobre las últimas amenazas, tendencias y tecnologías, junto con columnas interesantes de expertos de la industria.

Únase a los expertos en seguridad mientras analizan el potencial sin explotar de ZTNA para reducir el riesgo cibernético y potenciar el negocio.

Únase a Microsoft y Finite State en un seminario web que presentará una nueva estrategia para proteger la cadena de suministro de software.

Si bien hay bastantes rumores y exageraciones en torno a la IA, es una tecnología que puede agregar un valor tremendo a los programas de seguridad. (Joshua Goldfarb)

Abordar el problema de las personas con enfoques y herramientas eficaces para los usuarios y profesionales de la seguridad nos permitirá trabajar de forma más inteligente y obligar a los atacantes a una posición en la que deben trabajar más duro. (Marc Solomon)

La noción ampliamente aceptada de que la red y la nube son dos entidades diferentes y distintas no es cierta. (Matt Wilson)

La migración a un modelo de análisis cuantitativo del riesgo cibernético permite obtener datos más precisos, lo que conduce a una toma de decisiones más informada. (Fawaz Rasheed)

Muchas redes OT que antes estaban aisladas, como las de fabricación, procesamiento, distribución y gestión de inventario, ahora se han integrado en redes de TI más grandes. (John Maddison)

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

El efecto general de las condiciones geopolíticas globales actuales es que los estados nacionales tienen un mayor incentivo para apuntar a los ICS/OT de industrias críticas, mientras...

El riesgo relacionado con la ciberseguridad es una de las principales preocupaciones, por lo que las juntas directivas deben saber que cuentan con la supervisión adecuada. Incluso siendo principiantes, los CISO exitosos hacen...

Wago ha solucionado vulnerabilidades críticas que pueden permitir a los piratas informáticos tomar el control total de sus controladores lógicos programables (PLC).

Otorio ha lanzado una herramienta gratuita que las organizaciones pueden utilizar para detectar y abordar problemas relacionados con la autenticación DCOM.

La empresa de ciberseguridad Forescout muestra cómo se pueden encadenar varias vulnerabilidades de ICS para un exploit que permita a los piratas informáticos causar daños a un puente.

El proveedor de seguridad de Internet de las cosas (IoT) e IoT industrial Shield-IoT anunció esta semana que ha cerrado una ronda de financiación Serie A de 7,4 millones de dólares,...

En 2022 se descubrieron más de 1300 vulnerabilidades de ICS, incluidas casi 1000 que tienen una clasificación de gravedad alta o crítica.