A Nozomi Networks revelou nove vulnerabilidades no sistema da Sewio, uma marca de sistemas de localização em tempo real (RTLS) que se popularizou no mercado. As vulnerabilidades se enquadram em três diferentes graus de risco: médio, alto e crítico. Desde quando detectou as falhas, a equipe de pesquisadores do Nozomi Networks Labs seguiu analisando o sistema Sewio para avaliar as melhores posturas de segurança e descobrir potenciais vetores de ataques.
Essas brechas são graves, pois permitem que um atacante obtenha acesso não autorizado ao servidor, altere informações, crie uma condição de negação de serviço (DoS), ganhe privilégios escalonados e execute código arbitrário. É importante frisar que estas vulnerabilidades também estão rastreadas no âmbito da CISA ICS Advisory (ICSA-23-012-01).
O que é um RTLS?
Um Sistema de Localização em Tempo Real (RTLS) é uma tecnologia utilizada para rastrear bens ou pessoas em instalações internas, maximizando a eficiência e a segurança dos ambientes de trabalho. Esse sistema utiliza sinais de radiofrequência (neste caso, UWB), que atingem um nível mais preciso e seguro de rastreio quando comparado a outros padrões disponíveis, como GPS.
Entre os componentes do RTLS, o servidor de posicionamento central (uma solução de software) é responsável por processar todas as informações, monitorar as posições, gerenciar alertas com base na localização de ativos ou pessoas usando as tags ou produzir dados históricos e agregados para análises – para avaliar a eficiência de um processo de linha de produção, por exemplo.
Geralmente, o servidor de posicionamento central está simultaneamente conectado a pelo menos duas redes diferentes. De todos os componentes do RTLS, esses servidores têm papel crucial em toda a postura de segurança de um RTLS e são os alvos mais valiosos a serem examinados, uma vez que coletam e armazenam todos os dados de localização de ativos ou pessoas rastreadas pelo sistema e normalmente são expostos em múltiplas redes.
Recomendações
A Nozomi recomenda que os usuários atualizem o RTLS Studio para a versão 3.0.0 ou para uma versão posterior. Já para os proprietários, os especialistas recomendam a aplicação imediata de todos os patches de correção desenvolvidos pela Sewio e todas as mitigações para as vulnerabilidades ainda não corrigidas, para evitar qualquer violação dos sistemas por parte de agentes de ameaça não autorizados.
A Sewio desenvolveu correções para as vulnerabilidades CVE-2022-47911; CVE-2022-43483; CVE-2022-45127; CVE-2022-47395; CVE-2022-47917; CVE-2022-46733; CVE-2022-43455.
Quanto às vulnerabilidades não corrigidas – CVE-2022-45444 e CVE-2022-41989 – a Sewio ainda está trabalhando em uma correção, mas os especialistas da Nozomi explicam que essas vulnerabilidades podem ser mitigadas por meio da implementação das seguintes soluções:
CVE-2022-45444: alterar manualmente a senha da base de dados para uma senha arbitrária;
CVE-2022-41989: aplicar regras de firewall para evitar interações com os relatórios gerados por outro componente do RTLS – Âncora. Sincronizar âncoras e piscar e sincronizar serviços da rede de gerenciamento de TI; restringir ao máximo o acesso à rede de backhaul RTLS.