AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Falsos positivos en motores de seguridad: Siemens Desigo CC bajo la lupa por scripts PowerShell en parches**

admin

### Introducción

En las últimas horas, varios motores de seguridad han comenzado a marcar archivos de actualización de Siemens Desigo CC como potencialmente maliciosos. El incidente, que afecta a uno de los sistemas de gestión de edificios más extendidos del mercado, ha generado una oleada de alertas en entornos corporativos y centros de operaciones de seguridad (SOC). La raíz del problema se encuentra en la presencia de un script PowerShell legítimo incluido en los paquetes de actualización, lo que ha desencadenado falsos positivos en diferentes soluciones antimalware.

### Contexto del Incidente

Siemens Desigo CC es una plataforma integral de gestión para edificios inteligentes, empleada a nivel global para la administración centralizada de climatización, iluminación, seguridad física y otros sistemas críticos. El software se actualiza regularmente mediante parches que, en ocasiones, incluyen componentes auxiliares como scripts PowerShell para automatización de tareas o comprobaciones de sistema.

A principios de junio de 2024, Siemens recibió reportes de clientes y partners sobre la detección de malware en algunos de estos archivos de actualización. Tras una investigación inicial, la compañía identificó que diversos motores antimalware, tanto de soluciones comerciales como de plataformas de escaneo en la nube (VirusTotal, Hybrid Analysis, etc.), estaban marcando erróneamente ciertos scripts embebidos en los parches como amenazas, a pesar de que no existía evidencia de compromiso o presencia de código malicioso real.

### Detalles Técnicos

La detección errónea afecta a scripts PowerShell presentes en los archivos de actualización de Desigo CC, concretamente en versiones comprendidas entre la 5.0 y la 6.2, liberadas entre 2023 y 2024. Estos scripts se utilizan legítimamente para tareas como la verificación de integridad de ficheros, reconfiguración de servicios o limpieza de archivos temporales tras la aplicación del parche.

Los motores de seguridad que generan los falsos positivos se basan en heurísticas y técnicas de machine learning, que tienden a asociar el uso de PowerShell—una herramienta frecuentemente explotada por actores de amenazas para ejecución de payloads o movimientos laterales—con comportamientos potencialmente peligrosos. En este caso, las firmas heurísticas detectan patrones asociados a comandos como `Invoke-Expression`, `DownloadFile` o `Set-ExecutionPolicy`, presentes en los scripts por motivos legítimos de operación.

Hasta el momento, no se ha publicado un CVE asociado, ya que no se trata de una vulnerabilidad explotable, sino de un problema de clasificación errónea (false positive) por parte de los motores de detección. No obstante, el TTP relacionado según la matriz MITRE ATT&CK sería T1059.001 (Command and Scripting Interpreter: PowerShell), común tanto en ataques reales como en operaciones administrativas autorizadas.

No se han detectado indicadores de compromiso (IoC) asociados a actores de amenazas conocidos ni se ha registrado explotación activa de esta situación mediante frameworks como Metasploit, Cobalt Strike u otros.

### Impacto y Riesgos

El principal riesgo de esta oleada de falsos positivos reside en la interrupción de operaciones críticas y la posible paralización de procesos de actualización en entornos industriales y de infraestructuras críticas. Administradores de sistemas y responsables de seguridad pueden verse forzados a bloquear o eliminar archivos legítimos, generando situaciones de denegación de servicio o impidiendo la aplicación de parches esenciales.

Según Siemens, menos del 2% de los despliegues globales de Desigo CC han reportado bloqueos o cuarentenas erróneas, pero la cifra podría aumentar conforme más organizaciones actualicen sus motores de seguridad o normas de detección. Además, la desconfianza generada podría retrasar la adopción de futuras actualizaciones, aumentando la superficie de exposición a vulnerabilidades reales.

### Medidas de Mitigación y Recomendaciones

Siemens recomienda a los administradores de sistemas y analistas SOC que revisen cuidadosamente las alertas generadas por los motores de seguridad antes de proceder con el bloqueo o eliminación de archivos relacionados con Desigo CC. Se aconseja:

– Añadir excepciones o whitelisting para los scripts PowerShell legítimos incluidos en los parches de Desigo CC.
– Verificar la integridad de los archivos mediante hashes SHA-256 proporcionados por Siemens.
– Actualizar las bases de firmas de los motores antimalware implicados, ya que varios fabricantes están emitiendo actualizaciones para corregir la clasificación errónea.
– Documentar los incidentes de falsos positivos conforme a los requisitos del GDPR y NIS2, para garantizar la trazabilidad y cumplimiento normativo ante posibles auditorías.

### Opinión de Expertos

Expertos en ciberseguridad industrial destacan que la creciente sofisticación de los motores de detección, basada en machine learning, puede aumentar la tasa de falsos positivos en operaciones administrativas legítimas. “El uso de PowerShell es un arma de doble filo: es indispensable para la gestión avanzada, pero su abuso por parte de atacantes ha llevado a una paranoia justificada en los motores antimalware”, señala Javier Martín, consultor de seguridad OT. Recomienda “mantener canales de comunicación fluidos entre los equipos de desarrollo, operaciones y seguridad para evitar bloqueos innecesarios”.

### Implicaciones para Empresas y Usuarios

Para las empresas que operan infraestructuras críticas, la gestión proactiva de estos falsos positivos es esencial para evitar interrupciones de servicio y garantizar la disponibilidad de sistemas. La coordinación entre equipos de IT y OT, así como la colaboración con los fabricantes de soluciones de seguridad y los proveedores de software industrial, resulta clave para minimizar el impacto.

Usuarios finales y operadores deben estar informados sobre la naturaleza de estos incidentes para evitar respuestas precipitadas que puedan generar mayores riesgos operativos o de cumplimiento.

### Conclusiones

El incidente con los parches de Siemens Desigo CC ilustra los retos actuales en la detección automatizada de amenazas, especialmente en entornos industriales hiperconectados. La colaboración entre fabricantes de software, proveedores de seguridad y equipos técnicos es fundamental para ajustar los algoritmos de detección y evitar interrupciones por falsos positivos, sin reducir la capacidad de respuesta ante amenazas reales. En un contexto regulatorio cada vez más exigente (GDPR, NIS2), la gestión adecuada de estos incidentes es tan crítica como la protección frente a ataques genuinos.

(Fuente: www.securityweek.com)