AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Cientos de vulnerabilidades zero-day en sistemas de automatización de edificios ponen en jaque la seguridad global

admin

#### Introducción

La seguridad de los sistemas de automatización de edificios (BAS, por sus siglas en inglés) ha sido tradicionalmente relegada a un segundo plano, a pesar de su papel crítico en la infraestructura de organizaciones de todo el mundo. Sin embargo, una reciente investigación del analista de seguridad Gjoko Krstic, bajo el proyecto denominado «Project Brainfog», ha destapado una realidad preocupante: la existencia de cientos de vulnerabilidades zero-day en plataformas BAS ampliamente desplegadas en hospitales, centros educativos y sedes corporativas. El alcance y la criticidad de estas brechas ponen de manifiesto la urgente necesidad de revisar prácticas, procesos y tecnologías en el sector.

#### Contexto del Incidente o Vulnerabilidad

«Project Brainfog» es un esfuerzo de investigación independiente que durante meses ha analizado arquitecturas BAS de diferentes fabricantes, centrándose en aquellos sistemas que, a pesar de su obsolescencia, continúan operando en infraestructuras críticas. Los sistemas BAS, diseñados para controlar climatización, iluminación, accesos y otras funciones esenciales, suelen estar conectados a redes corporativas e, incluso, a Internet, en ocasiones sin las mínimas medidas de protección.

Las conclusiones de Krstic evidencian una situación alarmante: cientos de vulnerabilidades sin parchear, muchas de ellas desconocidas públicamente (zero-days), afectan a versiones actuales y legacy de estos productos. Los sistemas identificados siguen activos en entornos tan sensibles como hospitales, colegios y oficinas, con especial incidencia en Estados Unidos y Europa Occidental.

#### Detalles Técnicos

La investigación ha identificado más de 300 vulnerabilidades zero-day, distribuidas en soluciones de al menos 15 fabricantes distintos, incluyendo plataformas como Tridium Niagara Framework, Siemens Desigo, Schneider Electric EcoStruxure y Honeywell Building Management Systems. Los vectores de ataque más recurrentes incluyen:

– **Ejecución remota de código (RCE):** Muchas de las vulnerabilidades permiten la explotación remota sin autenticación previa, facilitando la ejecución de comandos arbitrarios en el sistema operativo subyacente.
– **Elevación de privilegios:** Fallos en la gestión de sesiones y validación de permisos posibilitan que un atacante escale privilegios y obtenga control total sobre el BAS.
– **Exposición de credenciales:** Interfaces web inseguras y almacenamiento de contraseñas en texto claro permiten la exfiltración de credenciales de administradores.
– **Bypass de autenticación:** Diversos endpoints permiten saltarse los mecanismos de autenticación o aprovechar configuraciones por defecto.

En su mayoría, los fallos se corresponden con debilidades en la gestión de inputs, desbordamientos de buffer, uso de componentes obsoletos y falta de cifrado en las comunicaciones. El investigador ha reportado los hallazgos a los fabricantes, y se espera la asignación de múltiples CVE en las próximas semanas.

A nivel de TTPs, los ataques se alinean con técnicas MITRE ATT&CK como T1190 (Exploitation of Public-Facing Application), T1078 (Valid Accounts), T1040 (Network Sniffing) y T1003 (Credential Dumping). Algunos exploits han sido adaptados para su uso en frameworks como Metasploit y Cobalt Strike, facilitando la automatización del compromiso.

Las pruebas realizadas han identificado más de 750 instalaciones vulnerables expuestas directamente en Internet, según búsquedas en Shodan y Censys. Los Indicadores de Compromiso (IoC) asociados incluyen patrones de tráfico anómalos, archivos modificados en sistemas BAS y accesos no autorizados a APIs.

#### Impacto y Riesgos

Las implicaciones de estas vulnerabilidades son graves. Un atacante podría manipular sistemas de climatización, bloquear controles de acceso, apagar sistemas críticos o usar los dispositivos BAS como punto de entrada para pivotar hacia la red corporativa. En hospitales, esto podría afectar la seguridad de pacientes y la operatividad de quirófanos; en escuelas o edificios de oficinas, interrumpir servicios esenciales o facilitar campañas de ransomware.

Según estimaciones del sector, más de un 60% de las instalaciones BAS en Europa aún ejecutan versiones vulnerables o sin soporte. El coste potencial de un incidente de seguridad en infraestructuras críticas puede superar los 500.000 euros, considerando tanto daños directos como sanciones derivadas del incumplimiento de normativas como GDPR y NIS2.

#### Medidas de Mitigación y Recomendaciones

Entre las acciones recomendadas, destacan:

– **Inventario y segmentación:** Identificar todos los BAS presentes en la red y aislarlos en VLANs dedicadas, evitando su exposición directa a Internet.
– **Actualización y parcheo:** Aplicar los parches proporcionados por los fabricantes tan pronto como estén disponibles. Se recomienda establecer un ciclo de gestión de vulnerabilidades específico para OT/BAS.
– **Hardening y reducción de superficie de ataque:** Desactivar servicios innecesarios, eliminar cuentas por defecto y reforzar credenciales. Implementar autenticación multifactor donde sea posible.
– **Monitorización y detección de anomalías:** Integrar logs y eventos de los BAS en el SIEM corporativo, y definir alertas específicas para patrones de ataque conocidos.
– **Pruebas de penetración regulares:** Realizar auditorías de seguridad periódicas, incluyendo técnicas de red team orientadas a sistemas BAS.

#### Opinión de Expertos

Especialistas como Daniel López, CISO de una multinacional del sector sanitario, advierten: “La mayoría de las organizaciones siguen considerando los BAS como sistemas aislados, cuando en realidad forman parte integral del perímetro digital. Esta investigación demuestra que la seguridad de la infraestructura física y la digital ya no pueden tratarse por separado”.

Desde el área de threat intelligence, se observa un incremento sostenido de actores de amenazas, tanto APT como cibercriminales, que exploran BAS como vector de entrada a redes corporativas.

#### Implicaciones para Empresas y Usuarios

Las empresas deben adaptar sus políticas de ciberseguridad para incluir el ámbito OT y BAS, integrando protocolos de respuesta a incidentes específicos para estos sistemas. Los responsables de cumplimiento deben considerar el impacto de las vulnerabilidades BAS en la cadena de custodia de datos personales y la continuidad de negocio, bajo el marco regulatorio de GDPR y NIS2.

Para los usuarios, la principal recomendación es exigir transparencia a proveedores y gestores de edificios respecto al estado de seguridad de los sistemas BAS.

#### Conclusiones

El descubrimiento masivo de vulnerabilidades zero-day en sistemas de automatización de edificios subraya la necesidad de adoptar un enfoque holístico de la seguridad en infraestructuras críticas. La convergencia de IT y OT exige colaboración entre equipos, inversión en formación y actualización tecnológica constante, bajo el riesgo de comprometer no solo la seguridad de la información, sino también la integridad física de personas e instalaciones.

(Fuente: www.darkreading.com)