Global Preloader
Vulnerabilidad
(26/Oct/2017) Las fallas críticas en los sistemas de comunicaciones marítimos podrían poner en peligro a naves enteras

Las fallas críticas en los sistemas de comunicaciones marítimos podrían poner en peligro a naves enteras

El asesor de seguridad de IOActive, Mario Ballano, descubrió dos vulnerabilidades críticas de seguridad cibernética que afectan a la plataforma de comunicación AmosConnect de Stratos Global a bordo.

Stratos Global es un proveedor líder de servicios de comunicaciones marítimas, y sus soluciones se utilizan en miles de barcos en todo el mundo.

La plataforma AmosConnect funciona en conjunto con los equipos satelitales de los barcos e integra las aplicaciones de oficina en barcos y en la costa, y proporciona servicios como acceso a internet para la tripulación, correo electrónico, mensajería instantánea, informes de posición, etc.

AmosConnect generalmente se implementa en la red de sistemas de TI de los barcos, que generalmente está separada de la red de sus sistemas de navegación, la red de Sistemas de Control Industrial y la red BYOD.

La primera vulnerabilidad es una inyección blind de SQL en un formulario de inicio de sesión. Los atacantes que lo explotan con éxito pueden recuperar las credenciales para iniciar sesión en el servicio y acceder a la información confidencial almacenada en él.

La segunda vulnerabilidad es una cuenta backdoor integrada con todos los privilegios del sistema. "Entre otras cosas, esta vulnerabilidad permite a los atacantes ejecutar comandos con privilegios del SISTEMA en el sistema remoto al abusar del Administrador de Tareas de AmosConnect".

Las fallas encontradas solo pueden ser explotadas por un atacante que tenga acceso a la red de sistemas de TI del barco, pero en algunos barcos las diversas redes podrían no estar segmentadas, o AmosConnect podría estar expuesto a una o más de ellas.

"Un escenario típico haría que AmosConnect estuviera disponible tanto para el BYOD 'invitado' como para las redes de TI; uno puede ver fácilmente cómo un atacante local puede explotar estas vulnerabilidades para pivotar desde la red de invitados a la red de TI. Además, algunas de las vulnerabilidades descubiertas durante la investigación SATCOM podrían permitir a los atacantes acceder a estos sistemas a través del enlace por satélite".

Las vulnerabilidades se encontraron en AmosConnect 8.4.0, y Stratos Global fue notificado hace un año.

Pero Inmarsat no los solucionará, y ha suspendido la versión 8.0 de la plataforma en junio de 2017. Aconsejan a los clientes volver a AmosConnect 7.0 o cambiar a una solución de correo electrónico de uno de sus socios aprobados.

"Esencialmente, cualquier persona interesada en información sensible de la empresa o que desee atacar la infraestructura de TI de un buque podría aprovechar estos defectos. Esto deja a los miembros de la tripulación y los datos de la compañía extremadamente vulnerables, y podría presentar riesgos para la seguridad de todo el buque".

"La seguridad cibernética marítima debe tomarse en serio ya que nuestra cadena global de logística se basa en ella y los ciberdelincuentes encuentran cada vez más nuevos métodos de ataque".

Jonathan Sinnatt, Director de Comunicaciones de Inmarsat, comenta sobre la historia:

"Somos conscientes del informe de IOActive pero es importante tener en cuenta que AmosConnect 8 (AC8) ya no está en servicio. Inmarsat había iniciado un proceso para retirar AmosConnect 8 de nuestra cartera antes del informe de IOActive y, en 2016, comunicamos a nuestros clientes que el servicio finalizaría en julio de 2017".

"Cuando IOActive trajo la vulnerabilidad potencial a nuestra atención, a principios de 2017, y a pesar de que el producto llegaba al final de su vida útil, Inmarsat emitió un parche de seguridad que se aplicó a AC8 para reducir en gran medida el riesgo que podría plantearse. También eliminamos la posibilidad de que los usuarios descarguen y activen AC8 desde nuestro sitio web público".

El servidor central de Inmarsat ya no acepta conexiones de los clientes de correo electrónico de AmosConnect 8, por lo que los clientes no pueden usar este software aunque lo deseen.

Es importante señalar que esta vulnerabilidad habría sido muy difícil de explotar, ya que requeriría acceso directo a la PC a bordo que ejecutaba el cliente de correo electrónico AC8. Esto solo podría hacerse mediante acceso físico directo a la PC, lo que requeriría que un intruso tenga acceso a la nave y luego a la computadora. Mientras que el acceso remoto se consideró una posibilidad remota ya que esto habría sido bloqueado por los firewalls de tierra de Inmarsat.