🛡 MALWARE 🛡

CubeSpace CW0057 Rueda de Reacción

🛡CyberObservatorio
Idioma

CubeSpace CW0057 Rueda de Reacción

Fuente: CISA Alerts

**Vulnerabilidad en el CubeSpace CW0057: Un Riesgo Silencioso para la Ciberseguridad de Dispositivos de Control**

En el mundo actual, donde la interconexión entre dispositivos y sistemas es cada vez más común, las vulnerabilidades de seguridad pueden tener consecuencias devastadoras. Este caso específico se centra en el CubeSpace CW0057 Reaction Wheel, un dispositivo utilizado en aplicaciones espaciales que ha sido identificado con una debilidad crítica. La explotación de esta vulnerabilidad podría permitir a un atacante cargar firmware malicioso en el dispositivo, lo que plantea serias preocupaciones sobre la integridad de los sistemas que dependen de esta tecnología.

La vulnerabilidad en cuestión se clasifica como una "verificación inadecuada de la firma criptográfica" y afecta a todas las versiones del firmware del CubeSpace CW0057 anteriores a la versión 5.0.20. Este fallo permite que un atacante con acceso físico al dispositivo suba firmware malicioso sin necesidad de autenticación. Esto es particularmente alarmante, ya que los dispositivos en entornos críticos, como los utilizados en satélites y misiones espaciales, pueden ser blanco de ataques si se encuentran en manos equivocadas.

CubeSpace ha hecho público un aviso sobre esta vulnerabilidad y ha lanzado la versión de firmware 5.0.20, que introduce la capacidad de arranque seguro criptográficamente verificado. Sin embargo, esta función de seguridad no está habilitada por defecto, lo que significa que los usuarios deben activarla manualmente. Para asegurar una protección efectiva, se recomienda que activen la funcionalidad de arranque firmado, especialmente el modo totalmente inmutable.

La mitigación de esta vulnerabilidad es un proceso crítico. CubeSpace ha reconocido que la CW0057 autentica las actualizaciones de firmware mediante un chequeo de integridad CRC-32. Este método confirma la integridad de la imagen, pero no verifica la fuente de dicha imagen. Aunque la explotación requiere acceso físico directo al dispositivo, lo que limita significativamente el riesgo, es importante recalcar que no se puede explotar de forma remota. Además, cualquier dispositivo afectado por este tipo de ataque sigue siendo recuperable; el bootloader opera de manera independiente del firmware de la aplicación y puede recargar imágenes de CubeSpace conocidas y seguras, lo que significa que un dispositivo comprometido no se puede desactivar permanentemente de este modo. A partir de la versión 5.0.20, CubeSpace ofrece un arranque seguro criptográfico opcional con diferentes niveles de seguridad que los clientes pueden habilitar. Debido a la necesidad de acceso físico y la posibilidad de recuperación, CubeSpace evalúa el riesgo práctico como bajo.

Es crucial que los usuarios y organizaciones tomen medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. El Centro de Seguridad de Infraestructura y Ciberseguridad (CISA) recomienda reducir la exposición en la red de todos los dispositivos y sistemas de control, asegurando que no sean accesibles desde Internet. Además, sugiere que las redes de sistemas de control y los dispositivos remotos se ubiquen detrás de cortafuegos y se aíslen de las redes empresariales.

Cuando se requiera acceso remoto, se deben emplear métodos más seguros, como las Redes Privadas Virtuales (VPN), aunque es importante recordar que las VPN pueden tener vulnerabilidades y deben mantenerse actualizadas a la versión más reciente disponible. También se debe tener en cuenta que la seguridad de una VPN depende de la seguridad de los dispositivos conectados.

CISA subraya la importancia de realizar un análisis de impacto adecuado y una evaluación de riesgos antes de aplicar medidas defensivas. En su página web, CISA también proporciona una sección sobre prácticas recomendadas para la seguridad de sistemas de control, así como varios productos que detallan las mejores prácticas de defensa cibernética, incluyendo estrategias de defensa en profundidad para mejorar la ciberseguridad de los sistemas de control industrial.

La organización anima a las organizaciones a implementar estrategias de ciberseguridad recomendadas para una defensa proactiva de los activos de los sistemas de control industrial. Adicionalmente, se ofrecen orientaciones y prácticas recomendadas de mitigación en la página de ICS de CISA, donde se puede encontrar el documento técnico ICS-TIP-12-146-01B, que aborda estrategias de detección y mitigación de intrusiones cibernéticas dirigidas.

Es fundamental que las organizaciones que detecten actividades maliciosas sospechosas sigan los procedimientos internos establecidos y reporten sus hallazgos a CISA para su seguimiento y correlación con otros incidentes.

Por último, CISA aconseja a los usuarios adoptar medidas de protección contra ataques de ingeniería social, como no hacer clic en enlaces o abrir archivos adjuntos en correos electrónicos no solicitados. Para obtener más información sobre cómo evitar estafas por correo electrónico y ataques de ingeniería social, se puede consultar sus guías específicas.

Hasta la fecha, no se ha reportado ninguna explotación pública conocida que apunte específicamente a esta vulnerabilidad, y se ha confirmado que no es explotable de manera remota. Sin embargo, la presencia de esta debilidad subraya la necesidad de una vigilancia constante y de una postura de seguridad robusta en todos los dispositivos y sistemas críticos.

CubeSpace CW0057 Reaction Wheel

Source: CISA Alerts

View CSAF Successful exploitation of this vulnerability could allow an attacker to upload arbitrary malicious firmware to the device. The following versions of CubeSpace CW0057 Reaction Wheel are affected: Expand All + CubeSpace CW0057 Reaction Wheel firmware versions prior to 5.0.20 are vulnerable to an Improper Verification of Cryptographic Signature vulnerability. This could allow an attacker with physical access to the product to upload arbitrary malicious firmware to the device without authentication. View CVE Details Vendor fixCubeSpace has released the following firmware versions for users to enable: Firmware version 5.0.20. Firmware version 5.0.20 introduces the capability for cryptographically verified secure boot; however, this protection is not enabled by default. Users must activate signed‑boot functionality, particularly the fully immutable mode, to achieve full security. MitigationCubeSpace acknowledges the finding. The CW0057 reaction wheel authenticates firmware updates with a CRC-32 integrity check, which confirms image integrity but does not verify the source of an image. Exploitation requires direct physical access to the device and is not exploitable remotely. A device affected by this method remains recoverable: the bootloader operates independently of the application firmware and can reload known-good, CubeSpace-supplied images, so an affected unit cannot be permanently disabled by this method. Starting with firmware version 5.0.20, CubeSpace offers optional cryptographic secure boot of varying security levels which customers can enable. Given the physical-access prerequisite and the availability of recovery, CubeSpace assesses the practical risk as low. Relevant CWE:CWE-347 Improper Verification of Cryptographic Signature This product is provided subject to this Notification (https://www.cisa.gov/notification) and this Privacy & Use policy (https://www.cisa.gov/privacy-policy). CISA recommends users take defensive measures to minimize the risk of exploitation of this vulnerability. Minimize network exposure for all control system devices and/or systems, ensuring they are not accessible from the internet. Locate control system networks and remote devices behind firewalls and isolating them from business networks. When remote access is required, use more secure methods, such as Virtual Private Networks (VPNs), recognizing VPNs may have vulnerabilities and should be updated to the most current version available. Also recognize VPN is only as secure as the connected devices. CISA reminds organizations to perform proper impact analysis and risk assessment prior to deploying defensive measures. CISA also provides a section for control systems security recommended practices on the ICS webpage on cisa.gov/ics. Several CISA products detailing cyber defense best practices are available for reading and download, including Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies. CISA encourages organizations to implement recommended cybersecurity strategies for proactive defense of ICS assets. Additional mitigation guidance and recommended practices are publicly available on the ICS webpage at cisa.gov/ics in the technical information paper, ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies. Organizations observing suspected malicious activity should follow established internal procedures and report findings to CISA for tracking and correlation against other incidents. CISA also recommends users take the following measures to protect themselves from social engineering attacks: Do not click web links or open attachments in unsolicited email messages. Refer to Recognizing and Avoiding Email Scams for more information on avoiding email scams. Refer to Avoiding Social Engineering and Phishing Attacks for more information on social engineering attacks. No known public exploitation specifically targeting this vulnerability has been reported to CISA at this time. This vulnerability is not exploitable remotely.

CubeSpace CW0057 Rueda de Reacción | Ciberseguridad - NarcoObservatorio