Una serie de ocho vulnerabilidades y exposiciones comunes (CVE) recientemente designadas en un sistema de control de acceso a edificios construido por HID Mercury y vendido por Carrier, un proveedor global de sistemas de edificios para seguridad física, HVAC, etc., podría permitir a los atacantes obtener acceso completo. controlar el sistema y manipular de forma remota las cerraduras de las puertas, según investigadores de Trellix Threat Labs.
El equipo de investigación de vulnerabilidades de Trellix, que tiene un interés especial en las amenazas a la tecnología operativa (OT) y los sistemas de control industrial (ICS), llevó a cabo su investigación sobre los paneles de control de acceso LenelS2 de Carrier, que son utilizados por organizaciones en múltiples verticales, que incluyen atención médica, educación , el transporte y el sector público. En los EE. UU., en particular, este producto está aprobado para su uso en propiedades del gobierno federal.
El equipo de Trellix dijo que eligió trabajar con este panel de control de acceso específico porque es de uso generalizado en industrias críticas, tiene una sólida posición en el mercado y ha sido certificado como seguro.
“Para este proyecto, anticipamos un gran potencial para encontrar vulnerabilidades, sabiendo que el controlador de acceso estaba ejecutando un sistema operativo Linux y que el acceso raíz a la placa se podía lograr aprovechando las técnicas clásicas de piratería de hardware”, dijo el equipo en un blog de divulgación.
“Si bien creíamos que se podían encontrar fallas, no esperábamos encontrar vulnerabilidades de software heredadas comunes en una tecnología relativamente reciente”.
El equipo combinó una serie de técnicas conocidas y novedosas para piratear los paneles de control utilizando un enfoque por etapas: primero, utilizando técnicas de piratería de hardware para usar puertos de depuración integrados para forzar al sistema a los estados deseados que eluden las medidas de seguridad. Esto les permitió obtener acceso raíz al sistema operativo, extraer su firmware y modificar los scripts de inicio para obtener acceso persistente.
Con el firmware y los archivos binarios del sistema disponibles, el equipo luego pasó al software accesible desde la red subyacente. A través de una combinación de ingeniería inversa y depuración en vivo, encontraron seis vulnerabilidades no autenticadas y dos autenticadas que podían explotar de forma remota.
A partir de ahí, pudieron encadenar dos de esas vulnerabilidades para explotar la placa de control de acceso y obtener privilegios remotos de nivel raíz en el dispositivo. Esto les permitió crear y ejecutar su propio programa para desbloquear cualquier puerta controlada y subvertir el monitoreo del sistema.
“Las vulnerabilidades descubiertas nos permitieron demostrar la capacidad de desbloquear y bloquear puertas de forma remota, subvertir alarmas y socavar los sistemas de registro y notificación”, dijeron. “El CVE más alto, una ejecución remota de código no autenticado (RCE), recibió una puntuación base de 10 CVSS, la puntuación máxima para una vulnerabilidad”.
La lista completa de vulnerabilidades es la siguiente:
- CVE-2022-31479, una vulnerabilidad de inyección de comando no autenticada.
- CVE-2022-31480, una vulnerabilidad de denegación de servicio no autenticada.
- CVE-2022-31481, la vulnerabilidad RCE con clasificación CVSS 10 mencionada anteriormente.
- CVE-2022-31482, una vulnerabilidad de denegación de servicio no autenticada.
- CVE-2022-31483, una vulnerabilidad de escritura de archivo arbitrario autenticado.
- CVE-2022-31484, una vulnerabilidad de modificación de usuario no autenticado.
- CVE-2022-31485, una vulnerabilidad de falsificación de información no autenticada.
- CVE-2022-31486, una vulnerabilidad de inyección de comando autenticada.
En respuesta a la divulgación, Carrier ha publicado un aviso con más detalles, mitigaciones y actualizaciones de firmware, que los usuarios deben aplicar de inmediato.
Además, HID Global ha confirmado desde entonces que todos los socios OEM que utilizan placas Mercury serán vulnerables a estos problemas en plataformas de controlador de hardware específicas, y la investigación también es útil para los proveedores y terceros que trabajan con Carrier para instalar sistemas de acceso. Los usuarios finales que utilicen estas placas deben comunicarse con su socio OEM para acceder a los parches.
Según un estudio de IBM de 2021, las infracciones de seguridad física cuestan más de 3,5 millones de dólares en promedio y pueden tardar hasta siete meses en identificarse. Además, debido a que los sistemas de OT y TI son cada vez más convergentes, las oportunidades de explotación para los actores de amenazas se vuelven más frecuentes y las consecuencias más graves, particularmente si un sistema comprometido es operado por un proveedor de infraestructura nacional crítica (CNI), como una red de telecomunicaciones o de servicios públicos domésticos. .
“Aunque las apuestas ya son altas, todavía están creciendo”, dijo el equipo de Trellix. “Apoyar a las organizaciones para que se adelanten a las amenazas a los sistemas industriales es un imperativo de seguridad nacional. Grupos como CISA han lanzado prioridades, objetivos y mejores prácticas para garantizar que la superficie de ataque de ICS se defienda de amenazas urgentes y riesgos a largo plazo.
“Es importante que los consumidores tengan en cuenta que las vulnerabilidades reveladas hoy pueden parecer que tienen poco impacto, pero los ataques a la infraestructura crítica sí afectan nuestra vida diaria. Los ataques cibernéticos como el infame Colonial Pipeline sirven como recordatorio de esto”.
