A fost identificată o vulnerabilitate critică în modulele ControlLogix, GuardLogix și 1756 ControlLogix I/O de la Rockwell Automation. Versiunile afectate includ ControlLogix versiunea V28, GuardLogix versiunea V31 și diferite versiuni ale modulelor din seria 1756-EN. Vulnerabilitatea, identificată ca CVE-2024-6242, permite atacatorilor să execute comenzi de programare și configurare CIP, putând modifica proiectele utilizatorilor și configurațiile dispozitivelor. Această vulnerabilitate are un scor CVSS v4 de 7,3, indicând un nivel ridicat de risc.
Produse
ControlLogix
Versiune: V28
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
GuardLogix
Versiune: V31
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN4TR
Versiune: V2
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2T, Seria A/B/C (versiune nesemnată)
Versiune: v5.007
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2F, Seria A/B (versiune nesemnată)
Versiune: v5.007
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2TR, Seria A/B (versiune nesemnată)
Versiune: v5.007
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN3TR, Seria B (versiune nesemnată)
Versiune: v5.007
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2T, Seria A/B/C (versiune semnată)
Versiune: v5.027
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2F, Seria A/B (versiune semnată)
Versiune: v5.027
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2TR, Seria A/B (versiune semnată)
Versiune: v5.027
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN3TR, Seria B (versiune semnată)
Versiune: v5.027
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2T, Seria D
Versiune: V10.006
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2F, Seria C
Versiune: V10.009
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2TR, Seria C
Versiune: V10.007
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN3TR, Seria B
Versiune: V10.007
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
1756-EN2TP, Seria A
Versiune: V10.020
Vendor: Rockwell Automation
CVEs: CVE-2024-6242
Vulnerabilități
Canal alternativ neprotejat
CVE: CVE-2024-6242
Scor CVSSv3: 8.4 - Ridicat
Scor CVSSv4: 7.3 - ridicat
CWE: CWE-420
Descriere: În produsele afectate există o vulnerabilitate care permite unui actor amenințător să ocolească funcția Trusted Slot dintr-un controler ControlLogix. Dacă este exploatat pe orice modul afectat dintr-un șasiu 1756, un actor periculos ar putea executa comenzi CIP care să modifice proiectele utilizatorului și/sau configurația dispozitivului pe un controler Logix din șasiu.
Impact: Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator să execute comenzi CIP de programare și configurare.
Mitigare: Rockwell Automation recomandă utilizatorilor să actualizeze controllerele Logix la următoarele: ControlLogix 5580 (1756-L8z): Actualizați la versiunile V32.016, V33.015, V34.014, V35.011 și ulterioare. GuardLogix 5580 (1756-L8zS): Actualizare la versiunile V32.016, V33.015, V34.014, V35.011 și ulterioare. 1756-EN4TR: Actualizare la versiunile V5.001 și ulterioare. 1756-EN2T Seria D, 1756-EN2F Seria C, 1756-EN2TR Seria C, 1756-EN3TR Seria B și 1756-EN2TP Seria A: Actualizați la versiunea V12.001 și ulterior. Produsele 1756-EN2T Seria A/B/C, 1756-EN2F Seria A/B, 1756-EN2TR Seria A/B și 1756-EN3TR Seria B nu au un remediu disponibil. Utilizatorii pot face upgrade la Seria D pentru a remedia această vulnerabilitate. Utilizatorii care folosesc firmware-ul afectat și care nu pot face upgrade la una dintre versiunile corectate sunt încurajați să aplice următoarele bune practici de atenuare și securitate, acolo unde este posibil: Limitarea comenzilor CIP permise pe controlere prin setarea comutatorului de mod pe poziția RUN. Cele mai bune practici de securitate: CISA recomandă utilizatorilor să ia măsuri defensive pentru a minimiza riscul de exploatare a acestei vulnerabilități, cum ar fi: Minimizați expunerea la rețea pentru toate dispozitivele și/sau sistemele sistemului de control, asigurându-vă că acestea nu sunt accesibile de pe internet. Localizați rețelele sistemelor de control și dispozitivele la distanță în spatele firewall-urilor și izolându-le de rețelele de afaceri. Atunci când este necesar accesul de la distanță, utilizați metode mai sigure, cum ar fi rețelele private virtuale (VPN), recunoscând că VPN-urile pot avea vulnerabilități și trebuie actualizate la cea mai recentă versiune disponibilă. Recunoașteți, de asemenea, că VPN-ul este la fel de sigur ca dispozitivele conectate. CISA reamintește organizațiilor să efectueze o analiză adecvată a impactului și o evaluare a riscurilor înainte de a implementa măsuri defensive. De asemenea, CISA oferă o secțiune privind practicile recomandate pentru securitatea sistemelor de control pe pagina web ICS de pe cisa.gov/ics. Mai multe produse CISA care detaliază cele mai bune practici de apărare cibernetică sunt disponibile pentru citire și descărcare, inclusiv Îmbunătățirea securității cibernetice a sistemelor de control industrial cu strategii de apărare în profunzime. CISA încurajează organizațiile să pună în aplicare strategiile de securitate cibernetică recomandate pentru apărarea proactivă a activelor ICS. Orientări suplimentare privind atenuarea riscurilor și practici recomandate sunt disponibile public pe pagina web ICS la adresa cisa.gov/ics în documentul de informare tehnică ICS-TIP-12-146-01B–Targeted Cyber Intrusion Detection and Mitigation Strategies. Organizațiile care observă activități rău intenționate suspectate ar trebui să urmeze procedurile interne stabilite și să raporteze constatările către CISA pentru urmărire și corelare cu alte incidente. De asemenea, CISA recomandă utilizatorilor să ia următoarele măsuri pentru a se proteja de atacurile de inginerie socială: Nu faceți clic pe linkuri web și nu deschideți atașamentele din mesajele de e-mail nesolicitate. Consultați Recunoașterea și evitarea înșelătoriilor prin e-mail pentru mai multe informații privind evitarea înșelătoriilor prin e-mail. Consultați Avoiding Social Engineering and Phishing Attacks pentru mai multe informații privind atacurile de inginerie socială. Până în acest moment, nu a fost raportată la CISA nicio exploatare publică cunoscută care să vizeze în mod specific această vulnerabilitate.
Concluzie
Vulnerabilitatea identificată în sistemele ControlLogix și GuardLogix ale Rockwell Automation reprezintă un risc semnificativ pentru sectoarele critice de producție din întreaga lume. Rockwell Automation a recomandat actualizarea la versiuni specifice pentru a reduce riscul. Pentru sistemele care nu pot fi actualizate, se recomandă implementarea celor mai bune practici de securitate, cum ar fi limitarea comenzilor CIP, minimizarea expunerii la rețea și utilizarea VPN-urilor pentru accesul de la distanță. Organizațiile sunt încurajate să urmeze strategiile de securitate cibernetică recomandate de CISA și să raporteze orice activitate suspectă. Până în prezent, nu a fost raportată nicio exploatare publică a acestei vulnerabilități.
Referințe
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
