Se descubren nuevos fallos Día Cero en SCADA
Desde que el gusano Stuxnet fuera descubierto hace un año, los sistemas SCADA han estado en los titulares de la industria de seguridad por su potencial amenaza.
Un investigador italiano ha descubierto al menos una docena de fallos de seguridad en el software utilizado por empresas de servicios públicos y sistemas de infraestructuras críticas.
Luigi Auriemma ha lanzado información sobre vulnerabilidades conocidas previamente y pruebas de concepto capaces de explotar código.
El investigador ha sido realmente productivo, ya que publicó 34 avisos, algunos con varias vulnerabilidades, el pasado mes de marzo, y desde entonces ha sido capaz de publicar uno o varios más al mes desde entonces.
Los fallos de seguridad afectan a diferentes productos SCAA (supervisory control and data acquisition) que se utilizan en energía, agua, aguas residuales, gas y petróleo, fábricas e industrias financieras. Algunas de las vulnerabilidades podrían permitir la ejecución remota de código o denegación de servicio, asegura Auriemma.
Las vulnerabilidades más serias afectan al software PLC (programmable logic controller) utilizados en los dispositivos físicos de control.
La mayoría de los expertos de seguridad han advertido sobre los sistemas SCADA y aseguran que aún hay un montón de vendedores que siguen creyendo que sus productos están protegidos en espacios a los que no pueden llegar los atacantes. Pero lo publicado por Luigi demuestra que el software escrito por la mayoría de los vendedores de SCADA y DCS (distributed control system) no siguen buenos ciclos de seguridad y procesos de control.