CH azonosító
CH-8065Angol cím
ROCKWELL ALLEN-BRADLEY MICROLOGIX, SLC 500, AND PLC-5 FAULT GENERATION VULNERABILITYFelfedezés dátuma
2012.12.09.Súlyosság
MagasÉrintett rendszerek
1762 MicroLogixPLC-5
Rockwell Automation
SLC 500
Érintett verziók
Rockwell Automation 1762 MicroLogix 1200 Controllers
Rockwell Automation 1763 MicroLogix 1100 Controllers
Rockwell Automation 1764 MicroLogix 1500 Controllers
Rockwell Automation 1766 MicroLogix 1400 Controllers
Rockwell Automation PLC-5 Controller
Rockwell Automation SLC 500 Controller
Összefoglaló
A Rockwell Automation vezérlők egy sérülékenységét jelentették, amit kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
A sérülékenységet a TCP és UDP 2222 illetve 44818 portokra küldött speciálisan összeállított csomagok segítségével lehet kihasználni, amelynek következtében a szolgáltatás megtagadás következik be, ami után csak közvetlen, fizikai hozzáféréssel lehet újraindítani az eszközt.
A sérülékenységet az alábbi termékekben jelentették:
- MicroLogix 1100 controller
- MicroLogix 1200 controller
- MicroLogix 1400 controller
- MicroLogix 1500 controller
- SLC 500 controller platform
- PLC-5 controller platform
A sérülékenységet távolról ki lehet használni.
Megoldás
A gyártó az alábbi lépéseket javasolja a probléma megoldására (ha lehetséges, akkor párhuzamosan többet kell használni!):
- Ha lehetséges, módosítsanak az eszköz beállításain:
SLC-500: Status fájlt “Static”-ra kell állítani!
PLC-5: engedélyezni kell a Passwords és Privileges funkciókat!
- Többrétegű biztonsági megoldást kell alkalmazni, korlátozni kell az eszközhöz történő hozzáférést!
- Tűzfal telepítése a kimenő és bejövő forgalom szűrésével, behatolás érzékelő és megelőző rendszerek használata, valamint az összes konfiguráció ellenőrzése! A tűzfalon blokkolni kell a nem megfelelő kimenő és bejövő forgalmat!
- Blokkolni kell az összes EtherNet/IP vagy más CIP protokoll alapú forgalmat, ami a hálózaton lévő eszközt próbálja meg elérni kívülről a TCP és UDP 2222 illetve 44818 portokon keresztül!
- Csak az arra illetékes személyek férhessenek hozzá az eszközhöz mind fizikailag, mind pedig távoli felhasználással!
- A Rockwell termékeket érintő további biztonságot érintő tanácsokat az alábbi hivatkozáson találhat: http://www.rockwellautomation.com/services/security/
További javaslatok a kockázatok csökkentésére:
- Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
- A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
- Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 51534
Egyéb referencia: www.us-cert.gov
Egyéb referencia: www.us-cert.gov