Rockwell Automation ControlLogix sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Minden EtherNet/IP termék, amely megfelel a CIP és az EtherNet/IP specifikációnak
1756-ENBT, 1756-EWEB, 1768-ENBT, 1768-EWEB kommunikációs modulok
CompactLogix L32E és L35E vezérlők
1788-ENBT FLEXLogix adapter
1794-AENTR FLEX I/O EtherNet/IP adapter
ControlLogix, CompactLogix, GuardLogix és SoftLogix 18 és korábbi verziók
CompactLogix és SoftLogix vezérlők 19 és korábbi verziók
ControlLogix és GuardLogix vezérlők 20 és korábbi verziók
MicroLogix 1100
MicroLogix 1400

Összefoglaló

A Rockwell Automation ControlLogix termékek több sérülékenységét jelentették, amiket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, MitM (Man-in-the-Middle) vagy replay támadást hajthatnak végre.

Leírás

1. Ha az alkalmazás egy valódi CIP üzenetet fogad, amely megváltoztatja a termék konfigurációját és hálózati paramétereit, és amely a 2222/TCP, 2222/UDP, 44818/TCP vagy a 44818/UDP portokra érkezik, de egy nem hitelesített IP címről, akkor szolgáltatás megtagadás következik be.
2. Ha az alkalmazás egy valódi CIP üzenetet fogad, amely reset parancsot tartalmaz, és amely a 2222/TCP, 2222/UDP, 44818/TCP vagy a 44818/UDP portokra érkezik, de egy nem hitelesített IP címről, akkor szolgáltatás megtagadás következik be.
3. Ha az alkalmazás egy valódi CIP üzenetet fogad, amely arra utasítja a CPU-t, hogy szakítsa félbe a működését illetve lépjen hiba állapotba, és amely a 2222/TCP, 2222/UDP, 44818/TCP vagy a 44818/UDP portokra érkezik, de egy nem hitelesített IP címről, akkor szolgáltatás megtagadás következik be.
4. A 2222/TCP, 2222/UDP, 44818/TCP vagy a 44818/UDP portokra küldött speciálisan összeállított CIP üzenet segítségével bizalmas információkat lehet szerezni.
5. A 2222/TCP, 2222/UDP, 44818/TCP vagy a 44818/UDP portokra küldött speciálisan összeállított CIP üzenet segítségével puffer túlcsordulást lehet előidézni, amely a NIC szolgáltatás megtagadásához vezet.
6. A 2222/TCP, 2222/UDP, 44818/TCP vagy a 44818/UDP portokra küldött speciálisan összeállított CIP üzenet segítségével puffer túlcsordulást lehet előidézni, amely a CPU szolgáltatás megtagadásához vezet.
7. A termékekben felhasznált webszerver autentikációs szoftver hibát kihasználva MitM (Man-in-the-Middle) vagy replay támadást lehet végrehajtani. A sérülékenységet kihasználva illetéktelenül hozzá lehet férni a termék web szerveréhez, és módosításokat lehet végrehajtani a a konfigurációs és diagnosztikai beállításokon.
8. Az eszköz nem hitelesíti megfelelően a felhasználókat, így egy távoli felhasználónak lehetősége van új firmware-t feltölteni az eszköz Ethernet kártyájára.

A sérülékenységet távolról kihasználó PoC (proof-of-concept) nyilvánosságra került.

Megoldás

A gyártó kiadta a javítást, amely befoltozza a sérülékenységet.

További javaslatok a kockázatok csökkentésére:

• Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
• A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
• Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.us-cert.gov
CVE-2012-6439 - NVD CVE-2012-6439
CVE-2012-6442 - NVD CVE-2012-6442
CVE-2012-6435 - NVD CVE-2012-6435
CVE-2012-6441 - NVD CVE-2012-6441
CVE-2012-6438 - NVD CVE-2012-6438
CVE-2012-6436 - NVD CVE-2012-6436
CVE-2012-6440 - NVD CVE-2012-6440
CVE-2012-6437 - NVD CVE-2012-6437