Noticias

Backdoor en RuggedOS amenaza la seguridad en sistemas de misión crítica, tráfico o energía

Publicado

en

Una investigación ha vuelto a poner en duda la seguridad en los sistemas de control industriales, descubriendo una puerta trasera en dispositivos de la empresa canadiense RuggedCom, usados en sistemas tan vitales como control de tráfico, instalaciones militares o redes de energía, y cuya seguridad es similar a ‘esconder la llave de nuestra casa debajo del felpudo’.

Un investigador de seguridad independiente ha descubierto una gravísima vulnerabilidad en el hardware-software de la compañía canadiense RuggedCom, que gestiona una amplia gama de infraestructuras críticas, incluidas líneas de ferrocarril, sistemas de control de tráfico, subestaciones eléctricas o instalaciones militares.

«En un mundo que usa sistemas informáticos para activar interruptores, abrir válvulas y todo tipo de controles en estaciones de energía o sistemas de comunicaciones de redes ferroviarias, podríamos pensar que los sistemas estarían totalmente asegurados para prevenir ataques de los vándalos, pero para los clientes de Rugged hay una gran posibilidad de accesos no autorizados simplemente apuntando y haciendo clic», comentan en ars technica haciéndose eco del caso RuggedCom.

Y es que el tema se las trae al descubrir que la seguridad de estos dispositivos de misión-crítica es similar a «dejar la llave de tu casa debajo del felpudo». Según el investigador, una puerta trasera en el sistema operativo de Rugged permite acceder a los dispositivos con un nombre de usuario tan simple como ‘factory’ y una contraseña fácilmente revelada escribiendo únicamente la dirección MAC del equipo en cuestión en un script simple en Perl.

El acceso es sumamente sencillo para alguien sin grandes conocimientos vía telnet o una shell remota y con acceso a todo el sistema. El debate está abierto sobre la seguridad de estos sistemas de control industriales, que todos podríamos considerar como totalmente seguros y que como vemos no los son. Por cierto, el investigador descubrió la vulnerabilidad crítica comprando un dispositivo RuggedCom de segunda mano en eBay y analizando su firmware.

Imagina si un delincuente, terrorista o simple vándalo, le da por cambiar el recorrido de una línea de tren, el verde de un simple semáforo en una gran ciudad en hora punta o entra en el sistema de control de una estación eléctrica.

Lo más leído

Salir de la versión móvil