Vulnerabilidad de Microsoft Windows RDS (Remote Desktop Service) en Sistemas de Control Industrial
Varios fabricantes de productos de Sistemas de Control Industrial se han visto afectados por esta vulnerabilidad en el servicio RDS, entre ellos:
- [Actualización 11/09/2019] Varios productos de la gama Siemens Healthineers afectados por DejaBlue.
- [Actualización 09/07/2019] Varios productos de la gama Siemens Healthineers.
- [Actualización 17/07/2019]Varios productos de Schneider Electric que utilizan Microsoft Windows como sistema operativo.
- [Actualización 30/06/2019] Varios productos de Philips.
- [Actualización 30/05/2019] Varios productos de Pepperl+Fuchs:
- VisuNet RM*
- VisuNet PC*
- Box Thin Client BTC*
- [Actualización 03/10/2019] Varios productos de Bosch.
La publicación de las actualizaciones de seguridad de Microsoft, publicadas este mes de mayo, describe una vulnerabilidad que afecta al servicio de RDS (Remote Desktop Service), que afectaría a varios productos industriales que utilizan este servicio en sus productos, como la gama de Siemens Healthineers y varios productos de Schneider Electric. Esta vulnerabilidad permitiría a un atacante remoto no autenticado, la ejecución de código remoto en el sistema objetivo, si este sistema tiene accesible a la red el servicio de RDS (Remote Desktop Service) de Microsoft Windows. Este aviso ya fue publicado en INCIBE-CERT para sistemas de TI, como Boletín de seguridad de Microsoft de mayo de 2019.
- Microsoft dispone de actualización para los sistemas operativos afectados, que soluciona la vulnerabilidad en RDS (Remote Desktop Service).
- [Actualización 23/05/2019] Para los productos que están en fase de fin de soporte, no se prevén actualizaciones. Por lo tanto, Siemens recomienda cerrar el puerto RDP cuando sea posible o desconectar estos dispositivos de la red.
- [Actualización 30/05/2019] Para dispositivos HMI de Pepperl+Fuchs que ejecutan RM Shell 4 con RDS (Remote Desktop Services) habilitado, deben actualizarse con los parches de seguridad RM Image 4 desde 01/2017 hasta 09/2019 (18-33400G).
- [Actualización 24/10/2019] Para dispositivos HMI de Pepperl+Fuchs que ejecutan RM Shell 4 con RDS (Remote Desktop Services) habilitado, deben actualizarse con los parches de seguridad RM Image 5 09/2019 (18-33624E).
- [Actualización 16/08/2019] Microsoft dispone de actualización para los sistemas operativos afectados, que soluciona la vulnerabilidad en RDS (Remote Desktop Service).
- [Actualización 03/10/2019] Bosch ha publicado actualizaciones para la mayoría de productos afectados, consultar la sección referencias para obtener más información.
- La vulnerabilidad encontrada en el servicio RDS (Remote Desktop Service) de Microsoft Windows, podría permitir a un atacante remoto no autenticado ejecutar código. El atacante debe disponer de acceso a la red, y el sistema debe tener el servicio RDS expuesto, generalmente por el puerto 3389/TCP. El envió de peticiones RDP especialmente diseñadas, permitiría al atacante explotar esta vulnerabilidad, que entre otras acciones podría instalar programas, crear cuentas o ejecutar código de forma remota. Se ha asignado el identificador CVE-2019-0708 para esta vulnerabilidad.
- [Actualización 16/08/2019] Aunque la función RDP (Remote Desktop Protocol) esté desactivada de forma predeterminada, estas vulnerabilidades podrían permitir a un atacante, la ejecución de código a nivel del sistema, mediante el envío de un paquete RDP de autenticación previa, especialmente diseñado, a un servidor RDS afectado. No se requiere la intervención del usuario, por lo que también podrían ser utilizadas por un posible malware para propagarse automáticamente a otros sistemas. Se han asignado los identificadores CVE-2019-1181 , CVE-2019-1182 , CVE-2019-1222 y CVE-2019-1226 para estas vulnerabilidades.