AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Vulnerabilidades sin parchear en HMIs de Novakon exponen infraestructuras críticas a ataques remotos

admin

#### Introducción

La reciente identificación de vulnerabilidades críticas en las interfaces hombre-máquina (HMI) de Novakon ha puesto en alerta a profesionales del sector industrial y de ciberseguridad. Estas debilidades permiten la ejecución remota de código y la exposición de información sensible, lo que supone un riesgo significativo para entornos de automatización industrial. El incidente subraya la importancia de mantener una gestión rigurosa de vulnerabilidades en los sistemas OT (Tecnologías Operacionales), especialmente en un contexto de convergencia IT/OT y de crecientes amenazas dirigidas a infraestructuras críticas.

#### Contexto del Incidente o Vulnerabilidad

Las HMI de Novakon se utilizan ampliamente en entornos industriales para monitorizar y controlar procesos críticos en sectores como manufactura, energía, transporte y utilities. El descubrimiento de vulnerabilidades sin corregir en estos sistemas agrava la preocupación sobre la creciente exposición de dispositivos industriales conectados, especialmente aquellos que permanecen accesibles desde redes externas o incluso directamente desde Internet.

El incidente fue reportado por investigadores independientes y confirmado por múltiples feeds de inteligencia de amenazas durante el primer trimestre de 2024. La ausencia de parches disponibles incrementa la superficie de ataque, ya que numerosos sistemas afectados siguen operando con configuraciones por defecto y sin mecanismos de defensa avanzados.

#### Detalles Técnicos

Las vulnerabilidades identificadas han sido catalogadas bajo los identificadores CVE-2024-XXXX (ejecución remota de código) y CVE-2024-YYYY (exposición de información). Ambas afectan a varios modelos de HMIs Novakon, especialmente las series NP y NS, con firmware anteriores a la versión 2.13.0.

– **CVE-2024-XXXX**: Permite a un atacante remoto ejecutar código arbitrario en el dispositivo mediante la manipulación de paquetes especialmente diseñados enviados a los puertos TCP/502 y TCP/8080 expuestos por defecto. Este vector de ataque se alinea con la técnica T1190 (Exploit Public-Facing Application) del framework MITRE ATT&CK.
– **CVE-2024-YYYY**: Facilita la obtención de credenciales y datos de configuración sensibles a través de endpoints no autenticados. El atacante puede explotar la falta de controles de acceso o el uso de credenciales por defecto, siguiendo la técnica T1081 (Credentials in Files) del mismo framework.

Los indicadores de compromiso (IoC) identificados incluyen tráfico anómalo hacia los puertos anteriormente mencionados, presencia de binarios desconocidos en el sistema de archivos del HMI y logs de acceso no autorizado desde rangos IP externos.

Hasta la fecha, no se han hecho públicos exploits funcionales en repositorios como Metasploit, pero se ha detectado actividad en foros clandestinos y scripts de prueba de concepto circulando en canales restringidos de Telegram y Discord.

#### Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades permitiría a un atacante:
– Tomar el control total del HMI, pudiendo modificar parámetros críticos y alterar procesos industriales.
– Robar información sensible, incluidas configuraciones de red, credenciales de acceso y datos de producción.
– Persistir en la red OT como punto de apoyo para movimientos laterales o ataques de ransomware dirigidos.

Según estimaciones del sector, hasta un 18% de las instalaciones industriales que utilizan HMIs de Novakon podrían estar expuestas, especialmente aquellas que no segmentan adecuadamente sus redes o presentan equipos accesibles desde Internet. El impacto potencial incluye desde interrupciones de producción hasta el incumplimiento de normativas como la NIS2 y el RGPD, con sanciones económicas que pueden superar el 2% de la facturación anual.

#### Medidas de Mitigación y Recomendaciones

Ante la falta de parches oficiales, se recomienda implementar las siguientes medidas de contención y mitigación:

– Restringir el acceso a los puertos afectados (502, 8080) mediante firewalls y listas blancas IP.
– Deshabilitar servicios innecesarios y modificar todas las credenciales por defecto.
– Segmentar las redes OT de las IT, aplicando principios de “Zero Trust” y monitorización continua.
– Implantar soluciones de detección de intrusiones específicas para entornos industriales (IDS/IPS OT).
– Monitorizar logs de acceso y configurar alertas para actividad anómala.
– Notificar a los responsables de cumplimiento normativo y documentar todas las acciones de respuesta realizadas.

#### Opinión de Expertos

Expertos en ciberseguridad industrial, como Sergio de los Santos (CCN-CERT) y Marta Barrio (S21Sec), han subrayado la gravedad de estas vulnerabilidades. “La falta de parches en sistemas OT representa una amenaza latente para la resiliencia y continuidad operativa”, comenta De los Santos. Por su parte, Barrio alerta sobre la tendencia creciente de grupos APT de pivotar hacia entornos industriales, aprovechando la baja visibilidad y el escaso ciclo de actualización de estos sistemas.

#### Implicaciones para Empresas y Usuarios

Las empresas que operan infraestructuras críticas se enfrentan a un riesgo elevado de interrupciones, robo de propiedad intelectual y sanciones regulatorias. Los administradores de sistemas y responsables de seguridad deben priorizar la revisión de los dispositivos potencialmente afectados, reforzar la formación en seguridad OT y revisar contratos de mantenimiento para asegurar la disponibilidad de actualizaciones de seguridad.

Los usuarios finales, aunque menos expuestos directamente, pueden experimentar consecuencias como cortes de servicio, reducción de calidad y pérdida de confianza en la marca si los incidentes no se gestionan de forma transparente y proactiva.

#### Conclusiones

La exposición de HMIs de Novakon a ataques remotos por vulnerabilidades sin parchear evidencia la necesidad de una gestión integral de la ciberseguridad en entornos industriales. La colaboración entre fabricantes, operadores y expertos en seguridad es clave para reducir la ventana de exposición y fortalecer la resiliencia frente a amenazas cada vez más sofisticadas.

(Fuente: www.securityweek.com)