Noticias

Sep 10, 2023

Vulnerabilidades críticas exponen el sistema de gestión de estacionamiento a ataques de piratas informáticos

Se han encontrado casi una docena de vulnerabilidades en la gestión de un aparcamiento de coches

Se han encontrado casi una docena de vulnerabilidades en un sistema de gestión de estacionamiento de automóviles fabricado por la empresa italiana Carlo Gavazzi, que fabrica componentes de control electrónico para la automatización industrial y de edificios.

Por

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

Se han encontrado casi una docena de vulnerabilidades en un sistema de gestión de estacionamiento de automóviles fabricado por la empresa italiana Carlo Gavazzi, que fabrica componentes de control electrónico para la automatización industrial y de edificios.

Las fallas fueron descubiertas por investigadores de la firma de ciberseguridad industrial Claroty en los productos de controlador y puerta de enlace de monitoreo CPY Car Park Server y UWP 3.0 de Carlo Gavazzi. El proveedor lanzó parches para los productos afectados a principios de este año.

[email protected] con sede en Alemania, que coordina la divulgación de vulnerabilidades que afectan el sistema de control industrial (ICS) y los productos de tecnología operativa (OT) de proveedores europeos, ha publicado un aviso que describe los problemas de Carlo Gavazzi. El aviso de [email protected] describe 11 vulnerabilidades, y la agencia advierte que un atacante podría explotarlas para "obtener acceso completo a los dispositivos afectados".

Vera Mens, la investigadora de seguridad de Claroty acreditada por [email protected] por informar las vulnerabilidades, le dijo a SecurityWeek que el producto UWP afectado es una aplicación basada en web diseñada para administrar de forma remota la automatización de edificios, la administración de energía y los sistemas de guía de estacionamiento, que brindan a los conductores con información sobre la disponibilidad de lugares de estacionamiento dentro de las instalaciones de estacionamiento.

"La puerta de enlace de monitoreo UWP es un dispositivo multipropósito que puede ejecutar una variedad de servidores de monitoreo, cada uno destinado a un propósito diferente", explicó Mens. "Por ejemplo, CPY Car Park Server es una función del dispositivo UWP 3.0 dedicada a monitorear y controlar otros dispositivos en un estacionamiento que realiza un seguimiento de los lugares de estacionamiento disponibles. En este ejemplo, hay sensores en cada lugar de estacionamiento que detectan si hay un coche allí Los sensores informan al servidor de aparcamiento CPY que agrega los datos, proporciona análisis (por ejemplo, capacidad a lo largo del tiempo) y organiza toda la operación".

Se ha descubierto que estos productos se ven afectados por vulnerabilidades críticas relacionadas con credenciales codificadas, inyección de SQL, falta de autenticación, validación de entrada incorrecta y recorridos de ruta, así como varios problemas de alta gravedad. Estos agujeros de seguridad se pueden explotar para eludir la autenticación, obtener información y ejecutar comandos, lo que permite que un atacante tome el control total del sistema objetivo.

Afortunadamente, Mens dijo que Claroty no tiene conocimiento de ningún dispositivo UWP expuesto en Internet, lo que significa que un atacante tendría que obtener acceso a la red objetivo para explotar las vulnerabilidades.

Sin embargo, un atacante que pueda obtener acceso a la red objetivo podría aprovechar las vulnerabilidades para realizar diversas actividades.

"Las vulnerabilidades son explotables y pueden conducir a varios escenarios de ataque, incluida la explotación del dispositivo de monitoreo y la falsificación de datos de monitoreo, el control de los dispositivos anidados, como controladores remotos y sensores, para interrumpir un proceso físico, y más", explicó Mens.

El investigador dijo que el proveedor solucionó rápidamente todas las vulnerabilidades. De acuerdo con [email protected], UWP3.0 versión 8.5.0.3 y posteriores y CPY Car Park Server versión 2.8.3 y posteriores corrigen las fallas. La agencia de ciberseguridad también ha compartido algunas recomendaciones generales para prevenir este tipo de ataques.

Relacionado: Nuevas vulnerabilidades permiten ataques al estilo de Stuxnet contra los PLC de Rockwell

Relacionado: Vulnerabilidades críticas encontradas en el producto AUVESY utilizado por las principales empresas industriales

Relacionado: 1000 organizaciones expuestas a ataques remotos por vulnerabilidades de FileWave MDM

Eduard Kovacs (@EduardKovacs) es editor colaborador en SecurityWeek. Trabajó como profesor de TI en una escuela secundaria durante dos años antes de comenzar una carrera en periodismo como reportero de noticias de seguridad de Softpedia. Eduard es licenciado en informática industrial y máster en técnicas informáticas aplicadas a la ingeniería eléctrica.

Suscríbase a la sesión informativa por correo electrónico de SecurityWeek para mantenerse informado sobre las últimas amenazas, tendencias y tecnología, junto con columnas perspicaces de expertos de la industria.

La Cumbre de Detección de Amenazas y Respuesta a Incidentes de SecurityWeek reúne a profesionales de la seguridad de todo el mundo para compartir historias de guerra sobre infracciones, ataques APT e inteligencia de amenazas.

El foro de CISO de Securityweek abordará los problemas y desafíos que son más importantes para los líderes de seguridad de hoy y cómo se ve el futuro como principales defensores de la empresa.

Si nos enfrentamos a un futuro de IA sin salida, la industria de la ciberseguridad seguirá dependiendo en gran medida de los enfoques tradicionales, especialmente los impulsados ​​por humanos. Sin embargo, no será como de costumbre. (Oliver Rochford)

Cuando los equipos tienen una manera de romper los silos empresariales y ver y comprender lo que está sucediendo, pueden mejorar la protección en su entorno cada vez más disperso y diverso. (Matt Wilson)

Independientemente del caso de uso en el que se centre su organización de seguridad, probablemente perderá tiempo y recursos y tomará malas decisiones si no comienza por comprender su panorama de amenazas. (Marc Solomon)

Los marcos y las pautas estándar de la industria a menudo llevan a las organizaciones a creer que implementar más soluciones de seguridad dará como resultado una mayor protección contra las amenazas. (Torsten George)

Con pasos proactivos para avanzar hacia Zero Trust, los líderes tecnológicos pueden aprovechar una idea antigua, pero nueva, que debe convertirse en la norma de seguridad. (Marie Hattar)

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

Menos de una semana después de anunciar que suspendería el servicio indefinidamente debido a un conflicto con un (en ese momento) investigador de seguridad anónimo...

OpenAI ha confirmado una violación de datos de ChatGPT el mismo día que una empresa de seguridad informó haber visto el uso de un componente afectado por un...

La amenaza de la cadena de suministro está directamente relacionada con la gestión de la superficie de ataque, pero la cadena de suministro debe conocerse y comprenderse antes de que pueda...

La última actualización de Chrome trae parches para ocho vulnerabilidades, incluidas siete informadas por investigadores externos.

Martes de parches: Microsoft advierte que la vulnerabilidad (CVE-2023-23397) podría conducir a la explotación antes de que se vea un correo electrónico en el Panel de vista previa.

Apple ha lanzado actualizaciones para macOS, iOS y Safari y todas incluyen un parche de WebKit para una vulnerabilidad de día cero rastreada como CVE-2023-23529.

Un grupo de siete investigadores de seguridad ha descubierto numerosas vulnerabilidades en vehículos de 16 fabricantes de automóviles, incluidos errores que les permitían controlar...

Los actores de amenazas pueden explotar una vulnerabilidad que afecta a las cámaras y grabadoras de video Dahua para modificar la hora del sistema de un dispositivo.