En las actualizaciones acumulativas de Microsoft del pasado junio de 2021, se incluía un parche de seguridad para limitar la exposición de CVE-2021-26414 con CVSS de 4.3 donde un potencial atacante podría saltarse las opciones de seguridad implementadas en DCOM. El parche es el KB5004442.
Este parche tenía una serie de etapas para facilitar la actualización de todo tipo de sistemas:
- 8 de junio de 2021, parche por defecto deshabilitado.
- 14 de junio de 2022, parche por defecto habilitado, pero con la posibilidad de deshabilitarlo.
- 14 de marzo de 2023, parche habilitado y sin posibilidad de deshabilitarlo.
A partir de marzo del 2023, este parche incrementa el nivel de seguridad requerido para las comunicaciones DCOM sin posibilidad de ser deshabilitado. Recordemos que DCOM (Distributed Component Object Model) es un protocolo empleado para exponer los objetos de una aplicación a los RPC (Remote Procedure Calls) y, de esta manera, los diferentes componentes de dispositivos puedan comunicarse por red.
Todas las aplicaciones que utilizan la API de Windows para establecer conexiones DCOM entre dos dispositivos se ven afectados. Un ejemplo: OPC-DA.
OPC-DA clásico utiliza las comunicaciones DCOM para pasar información entre dispositivos. La aplicación de este parche, a partir del 14 de marzo de 2023 impacta a toda comunicación OPC-DA ya que los clientes y servidores deben utilizar el mismo nivel de autenticación DCOM.
La conexión entre servidores y clientes OPC DA a través de una red requiere DCOM. Con la aplicación obligatoria del parche de seguridad KB5004442 de Microsoft, sólo se permitirán los dos niveles más altos de autorización DCOM. Cualquier conexión de clientes OPC con configuraciones de seguridad más bajas fallará.
Productos y versiones afectadas
- System Platform 2020 R2 SP1 y posteriores.
- System Platform 2017 U3 SP1 P01 y posteriores.
- System Platform 2014 R2 SP1 P02.
- OI Gateway y FS Gateway.
- Edge 2020 R2 SP1 y posteriores.
- KEPServerEX 5.20.396 hasta 6.12.
Soluciones
En general, la mejor solución es actualizar las aplicaciones a su última versión. No sólo para no verse afectado por el parche KB5004442 de Microsoft, sino también para garantizar el nivel de seguridad máximo de tus sistemas.
Si no es posible actualizar a la última versión disponible, ponte en contacto con nuestro departamento de soporte técnico y te asesorarán sobre la mejor opción para tu caso concreto.
- FSGateway (all versions) – Actualizar a OI Gateway.
- OI Gateway G-2.1 (v5.2 y anteriores) – Actualizar a versión superior.
- OI Gateway G-3.0 a 2020 R3 – Consultar hotfix adecuado para la versión.
- OI Gateway 2023- Compatible con actualización KB5004442
De manera genérica, si hablamos de las comunicaciones mediante OPC DA, podemos considerar las siguientes soluciones:
- Mover cliente y servidor OPC DA al mismo equipo para evitar comunicaciones de red y su autenticación.
- Configurar el nivel de autenticación de DCOM tanto en el servidor OPC como en todos los clientes.
- Reemplazar el uso de OPC DA por OPC UA, el cual no requiere de DCOM.
- Realizar un “túnel” de las comunicaciones OPC DA entre cliente y servidor.
- Redirigir el tráfico OPC-DA entre 2 servidores KepserverEX utilizando OPC-UA como medio de transporte.
- Utilizar la sincronización de DataHub para que un cliente OPC-DA pueda leer (y escribir) en el servidor, incluso cuando este está detrás de un Firewall sin puertos abiertos (eliminando la exposición de la red de proceso y disminuyendo los riesgos de ciberseguridad).
¿No sabes cómo aplicar cualquiera de estos puntos? O, peor todavía, ¿no sabes ni en qué punto te encuentras? No te preocupes, en Becolve Digital tenemos claro cómo ayudarte, ponte en contacto con nosotros y estudiaremos tu caso particular.