Sistemas de Control Industrial Festo Enfrentan Riesgos de Acceso Remoto No Documentados en Firmware

Productos ICS de Festo Carecen de Documentación Integral sobre Acceso Remoto

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha emitido un aviso (ICSA-26-015-02) que destaca la documentación incompleta de funciones accesibles de forma remota y los puertos IP requeridos en los productos de sistemas de control industrial (ICS) de Festo. El aviso, publicado como parte de los esfuerzos continuos de CISA para asegurar los entornos de tecnología operativa (OT), subraya una brecha crítica en la documentación del producto que podría exponer a las organizaciones a riesgos de seguridad innecesarios.

Detalles Técnicos

El aviso especifica que la documentación de los productos de Festo no detalla completamente todas las funciones accesibles de forma remota ni los puertos IP necesarios para su operación. Aunque algunos manuales de producto proporcionan descripciones parciales de las características soportadas, la falta de documentación integral puede dejar a los equipos de seguridad sin conocimiento de posibles superficies de ataque. Este problema afecta a múltiples dispositivos de Festo, incluyendo el recientemente añadido "Bus module" en una actualización del aviso el 13 de diciembre de 2022.

El documento CSAF (Common Security Advisory Framework) asociado al aviso proporciona contexto adicional, pero no incluye identificadores CVE específicos ni mitigaciones técnicas en este momento. Se recomienda a los profesionales de la seguridad revisar el archivo CSAF para obtener más detalles sobre los productos y configuraciones afectados.

Análisis de Impacto

La documentación incompleta plantea varios riesgos para las organizaciones que despliegan productos ICS de Festo:

• Superficie de Ataque Aumentada: Las funciones remotas no documentadas o los puertos abiertos pueden ser explotados por actores de amenazas para obtener acceso no autorizado a redes industriales.
• Desafíos de Cumplimiento: La documentación inadecuada puede obstaculizar el cumplimiento de estándares industriales como IEC 62443, NIST SP 800-82 o NERC CIP, que requieren una gestión exhaustiva de activos y accesos.
• Puntos Ciegos Operativos: Los equipos de seguridad pueden carecer de visibilidad sobre las vías legítimas de acceso remoto, complicando los esfuerzos de respuesta a incidentes y monitoreo de la red.

Recomendaciones para los Equipos de Seguridad

CISA y Festo aún no han publicado parches o documentación actualizada para abordar estos problemas. Mientras tanto, se alienta a los profesionales de la seguridad a tomar las siguientes medidas:

1. Inventario y Auditoría: Realizar una auditoría exhaustiva de todos los dispositivos ICS de Festo en uso, enfocándose en identificar funciones accesibles de forma remota no documentadas o puertos abiertos.
2. Segmentación de Red: Aislar los dispositivos Festo en redes OT segmentadas para limitar el movimiento lateral en caso de una compromiso.
3. Controles de Acceso: Implementar reglas estrictas de firewall para restringir el acceso a puertos IP conocidos y funciones remotas, incluso si no están completamente documentadas.
4. Monitoreo: Desplegar herramientas de monitoreo de red para detectar tráfico anómalo o intentos de acceso no autorizados dirigidos a dispositivos Festo.
5. Coordinación con el Proveedor: Contactar al soporte de Festo para solicitar documentación actualizada y aclarar las implicaciones de seguridad de las características no documentadas.

Las organizaciones deben considerar este aviso como un recordatorio para validar la documentación del proveedor frente a los despliegues en el mundo real, especialmente en entornos OT donde la seguridad por oscuridad no es una estrategia viable. Se esperan más actualizaciones de CISA o Festo a medida que la situación evolucione.