¿Obsolescencia programada? Un troyano integrado. Una contraseña estuvo a punto de provocar una crisis en el comercio mundial.
Pensábamos que los frigoríficos inteligentes iban a ahorrar dinero, pero resultó que pueden arruinar todo un negocio.
Los especialistas de Armis Labs detectaron 10 vulnerabilidades peligrosas en los controladores industriales Copeland de las series E2 y E3, ampliamente usados por grandes cadenas comerciales y empresas de almacenamiento frigorífico. Los dispositivos gestionan sistemas de refrigeración, HVAC, iluminación y otros equipos críticos en miles de supermercados y centros logísticos. Las vulnerabilidades fueron agrupadas bajo el nombre Frostbyte10, y 3 de ellas fueron calificadas como críticas según la escala CVSS.
Según Armis, algunas de las vulnerabilidades permiten la ejecución remota de código con privilegios root sin autenticación, lo que crea una amenaza directa para la cadena de suministro de alimentos y productos farmacéuticos: los atacantes podrían alterar los ajustes de temperatura, provocar el deterioro de alimentos o medicamentos y causar graves pérdidas económicas.
Copeland ya publicó una actualización de firmware versión 2.31F01 para los controladores E3, que corrige las diez vulnerabilidades. Los equipos de la serie E2 llegaron al fin de su periodo de soporte en octubre, y se recomienda encarecidamente a los usuarios migrar a E3. También se espera que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publique hoy su propia advertencia instando a actualizar de inmediato los sistemas vulnerables.
Durante la investigación, los especialistas de Armis Labs identificaron las vulnerabilidades analizando el tráfico de dispositivos Copeland usados por uno de sus grandes clientes minoristas. El primer problema se encontró por accidente después de un fallo del dispositivo al transmitir datos incorrectamente. En total se documentaron 10 vulnerabilidades distintas.
Entre ellas está la posibilidad de realizar cross-site scripting (XSS) debido a una contraseña predecible del administrador integrado, una falla en el mecanismo de autenticación en la que al atacante le basta con obtener el hash de la contraseña, y errores en la API que permiten provocar de forma remota fallos del sistema o leer archivos arbitrarios del sistema de ficheros del dispositivo.
También se detectó la posibilidad de obtener la lista de todos los usuarios y los hashes de sus contraseñas, subir firmware malicioso por la falta de verificación de la firma de las actualizaciones, activar servicios ocultos de acceso remoto como SSH y Shellinabox, y predecir la contraseña root de Linux que se genera en cada arranque del dispositivo. En la antigua serie E2 existe además una vulnerabilidad que permite operaciones con archivos sin autenticación debido a la ausencia de cifrado en el protocolo de intercambio de datos.
Preocupa especialmente la existencia de un administrador integrado con una contraseña que se genera cada día mediante un algoritmo predecible. Según los especialistas, esto podría utilizarse para obtener acceso administrativo. Combinado con la contraseña root predecible y la posibilidad de habilitar el acceso remoto a través de una API oculta, se abre la vía para la completa compromisión del dispositivo y la ejecución remota de código arbitrario.
Armis subraya que los atacantes, sean hackers con respaldo estatal o extorsionadores, prestan cada vez más atención a la infraestructura crítica relacionada con la logística, la refrigeración y la energía. Según Armis, estos dispositivos resultan especialmente atractivos para el chantaje: cada hora de inactividad puede traducirse para la víctima en pérdidas millonarias.
Copeland reconoció que la creación del usuario ONEDAY con una contraseña repetitiva fue resultado de una solicitud de clientes que querían un acceso remoto simplificado. No obstante, el proveedor ya eliminó esa opción y está adoptando una política de autenticación más segura. Un portavoz de la compañía subrayó que, aunque no hay evidencias de explotación de las vulnerabilidades, se tomaron medidas de forma proactiva.
Los especialistas instan a todos los usuarios de Copeland E2 y E3 a actualizar el firmware de inmediato, especialmente teniendo en cuenta que algunas vulnerabilidades permiten el control total del dispositivo e interferir en el funcionamiento de todo el sistema. Aunque hasta ahora no se han registrado ataques en la práctica, las consecuencias potenciales serían catastróficas — tanto para un negocio concreto como para toda la cadena de suministro.