La vulnerabilidad conocida como Log4Shell (CVE-2021-44228), detectada en la librería Log4j2 de Apache Software Foundation, descrita en la Alerta de Seguridad No. 25/21 (https://csirt.biocubafarma.cu/publicacion_detalles?id=171), también está afectando a fabricantes de Sistemas de Control Industrial.

Log4j se usa ampliamente en una variedad de servicios, sitios web y aplicaciones para consumidores y empresas, así como en productos de tecnología operativa (OT), para registrar información de seguridad y rendimiento. Un actor malicioso remoto no autenticado podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado. La empresa de Cibersegurdad Dragos a publicado que esta vulnerabilidad afectará las redes de OT, basándose en la ubicuidad de la biblioteca y las metodologías de explotación de rápido crecimiento.

Log4j se encuentra en repositorios populares de código abierto que se utilizan en numerosas aplicaciones industriales. Además, los adversarios pueden aprovechar esta vulnerabilidad en sistemas de control de supervisión y adquisición de datos (SCADA) y sistemas de gestión de energía (EMS) que utilizan Java en su base de código. Dragos Intelligence afirma haber observado tanto el intento como el éxito de la explotación de la vulnerabilidad Log4j.

Los elementos OT como SCADA / EMS configurados para acceso remoto pueden utilizar LDAP para la administración de contraseñas y, por lo tanto, ser vulnerables a la explotación, particularmente por parte de un adversario que se mueve lateralmente dentro de una red. Las redes OT con una segmentación débil de las redes de tecnología de la información (TI) comerciales serán las más afectadas por esta vulnerabilidad, más aún a medida que se descubran protocolos adicionales para permitir la explotación.

Entre los fabricantes que han informado de la vulnerabilidad en sus productos están: 

• Philips, 
• Siemens,
• Schneider Electric,
• Rockwell Automation,
• HMS,
• Wibu-Systems,
• Johnson Controls,
• Wind River,
• B&R,
• ABB,
• General Electric,
• Phoenix Contact,
• Bosch.

Recomendaciones:
Revisar la información oficial publicada por los fabricantes de las tecnologías empleadas en su organización, tanto de IT como OT, y realizar las actualizaciones y configuraciones recomendadas para mitigar esta importante vulnerabilidad.

Referencias:

• https://www.dragos.com/blog/industry-news/implications-of-log4j-vulnerability-for-ot-networks/
• https://www.infoplc.net/blogs-automatizacion/item/110590-vulnerabilidad-apache-log4j-ciberseguridad-industrial
• https://www.incibe-cert.es/alerta-temprana/avisos-sci/vulnerabilidad-log4shell-afecta-sistemas-control-industrial