Los detectores de gas utilizados en fábricas y otras instalaciones industriales para identificar condiciones tóxicas contienen varias vulnerabilidades que pueden permitir a delincuentes informáticos sabotear de forma remota los dispositivos.

Las vulnerabilidades en los detectores de gas Midas y Midas Black, fabricados por Honeywell, pueden ser explotadas incluso con un bajo nivel de habilidad, de acuerdo con el anuncio publicado el jueves por el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial.

La primera debilidad es una vulnerabilidad de recorrido de directorio (path traversal) que permite a atacantes remotos evitar el sistema de autenticación normal. Una segunda debilidad resulta del fracaso durante el cifrado de las contraseñas de usuario cuando están siendo transmitidas.

"Explotar exitosamente estas vulnerabilidades podría permitir a un atacante remoto acceder sin autenticación al dispositivo, posibilitando realizar cambios en la configuración o en el inicio de los procesos de calibración o de prueba", advirtió el aviso de seguridad. El aviso aconsejó a las organizaciones que cuentan con las versiones 1.13b3 o 2.13b3 de estos detectores aplicar el parche de seguridad. El aviso hace referencia a este enlace de Honeywell.

Las vulnerabilidades pusieron en relieve el desafío planteado por el creciente uso de computadoras para automatizar procesos industriales sensibles. Mientras que la informatización a menudo aporta eficiencia en la gestión de las fábricas y otros entornos industriales, también aumenta el riesgo de mal funcionamiento o sabotaje a través de posibles fallas de seguridad. Con frecuencia, los equipos se encuentran en zonas de difícil acceso con entornos extremadamente duros, haciendo difícil aplicar parches de seguridad.