AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

CISA alerta sobre explotación activa de fallos críticos en dispositivos Hikvision y Rockwell Automation

admin

Introducción

El jueves pasado, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) actualizó su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), incorporando dos fallos de seguridad críticos que afectan a productos de Hikvision y Rockwell Automation. La decisión de CISA se basa en la existencia de pruebas de explotación activa en entornos reales, poniendo en alerta a equipos de ciberseguridad y responsables de infraestructuras críticas a nivel global. Este movimiento refuerza la urgencia de abordar vulnerabilidades históricas que, pese a contar con parches de seguridad desde hace años, siguen siendo un vector de ataque significativo en ámbitos industriales y de videovigilancia.

Contexto del Incidente o Vulnerabilidad

Los productos comprometidos pertenecen a dos sectores de alta criticidad: cámaras de videovigilancia IP de Hikvision, ampliamente desplegadas en infraestructuras públicas y privadas, y sistemas de automatización industrial de Rockwell Automation, esenciales para la operativa de plantas industriales y servicios esenciales. Ambos fabricantes han estado previamente en el foco de la industria de la ciberseguridad por la falta de actualización de dispositivos desplegados y la exposición de estos en Internet. Según datos de Shodan, miles de equipos de ambas marcas permanecen accesibles y potencialmente vulnerables a ataques remotos.

Detalles Técnicos: CVE, vectores de ataque y TTPs

La vulnerabilidad CVE-2017-7921, con un CVSS de 9.8 (crítico), afecta a múltiples modelos de cámaras IP de Hikvision. El fallo reside en la autenticación inadecuada del sistema de gestión web de las cámaras, permitiendo a un atacante remoto eludir credenciales y obtener acceso total al dispositivo. El exploit, ampliamente documentado y disponible en frameworks como Metasploit, aprovecha la ausencia de comprobaciones robustas en el endpoint de autenticación, permitiendo la ejecución de comandos arbitrarios y la exfiltración de datos de vídeo y configuración.

En el caso de Rockwell Automation, aunque la noticia original no especifica el CVE, ataques previos hacia sus productos suelen basarse en la explotación de servicios abiertos en controladores lógicos programables (PLC), abuso de protocolos propietarios sin cifrado, y escalada de privilegios a través de credenciales por defecto o expuestas. Los TTPs observados se alinean con las técnicas de acceso inicial (TA0001) y ejecución remota de código (TA0002) según el marco MITRE ATT&CK. Los indicadores de compromiso (IoC) incluyen logs de autenticaciones fallidas, cambios no autorizados en la configuración y tráfico inusual en puertos específicos de los dispositivos afectados.

Impacto y Riesgos

El impacto de estos fallos es significativo, especialmente en entornos OT (Tecnología Operacional) y de videovigilancia. Un atacante que explote CVE-2017-7921 puede tomar el control de cámaras, manipular grabaciones, desactivar alertas de seguridad y pivotar hacia otras redes internas. En el ámbito industrial, la explotación de sistemas Rockwell Automation puede derivar en paradas de producción, sabotaje de procesos críticos, y exposición de información sensible sobre la operativa de la planta. Según estimaciones del Ponemon Institute, el coste medio de un incidente en infraestructuras críticas supera el millón de euros, sin contar con las posibles sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2.

Medidas de Mitigación y Recomendaciones

CISA insta a la actualización inmediata de todos los dispositivos afectados a las versiones más recientes del firmware, donde los fabricantes han corregido los fallos. Se recomienda además:

– Deshabilitar interfaces de administración remota expuestas a Internet.
– Implementar listas blancas de acceso y segmentación de red para aislar dispositivos críticos.
– Monitorizar logs de acceso y cambios en la configuración, con alertas ante actividades sospechosas.
– Sustituir credenciales por defecto y emplear autenticación multifactor siempre que sea posible.
– Utilizar herramientas de escaneo (como Nessus, Nmap o Shodan) para identificar dispositivos vulnerables en el inventario.

Opinión de Expertos

Expertos del sector, como el investigador de amenazas Jake Williams, advierten que “la persistencia de dispositivos sin parchear en entornos industriales y cámaras de videovigilancia supone una amenaza latente, ya que proporcionan un vector de entrada privilegiado a redes habitualmente mal segmentadas o monitorizadas”. Desde el CERT de España, se incide en la necesidad de establecer ciclos regulares de actualización y de concienciar a los responsables OT sobre la criticidad de estos activos.

Implicaciones para Empresas y Usuarios

Para las empresas, estos incidentes refuerzan la importancia de mantener un inventario actualizado y aplicar una gestión de parches proactiva, especialmente en dispositivos de difícil acceso físico o con ventanas de mantenimiento limitadas. Los usuarios y responsables de infraestructuras críticas deben revisar sus políticas de exposición y acceso remoto, alineándose con los requisitos de la NIS2 y el GDPR en materia de protección de datos y resiliencia operativa. La tendencia de los últimos años indica que los atacantes explotan cada vez más vulnerabilidades conocidas (“n-days”) en lugar de invertir en el desarrollo de exploits zero-day, dada la elevada tasa de éxito ante la lentitud en la aplicación de parches.

Conclusiones

La inclusión de CVE-2017-7921 y otras vulnerabilidades de Rockwell Automation en el KEV de CISA vuelve a poner de manifiesto la importancia de la gestión de vulnerabilidades en dispositivos IoT e industriales. La explotación activa de estos fallos, años después de su descubrimiento, evidencia la brecha existente entre la identificación y la remediación. La ciberseguridad en infraestructuras críticas no puede depender únicamente de la detección; debe integrar procesos robustos de mantenimiento, segmentación y monitorización continua.

(Fuente: feeds.feedburner.com)