CH azonosító
CH-8871Angol cím
ROCKWELL AUTOMATION FACTORYTALK AND RSLINX MULTIPLE VULNERABILITIESFelfedezés dátuma
2013.04.07.Súlyosság
MagasÉrintett rendszerek
Factory TalkRSLinx Enterprise
Rockwell Automation
Érintett verziók
FactoryTalk Services Platform
RSLinx Enterprise
Összefoglaló
A Rockwell Automation FactoryTalk és RSLinx olyan sérülékenységeit jelentették, amiket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, vagy feltörhetik a sérülékeny rendszert.
Leírás
- A FactoryTalk Services Platform (RNADiagnostics.dll) nem képes megfelelően kezelni a bemeneti adatokban szereplő negatív számokat, amit kihasználva a 4445/UDP portra küldött speciálisan elkészített, negatív számot tartalmazó csomaggal szolgáltatás megtagadást vagy az RNADiagnostics.dll vagy RNADiagReceiver.exe összeomlását lehet előidézni.
- A FactoryTalk Services Platform (RNADiagnostics.dll) nem képes megfelelően kezelni a bemeneti adatokban szereplő túlságosan nagy számokat, amit kihasználva a 4445/UDP portra küldött speciálisan elkészített, túlságosan nagy számot tartalmazó csomaggal szolgáltatás megtagadást lehet előidézni.
- Az RSLinx Enterprise Software (LogReceiver.exe és Logger.dll) nem megfelelően kezeli a 0 hosszúságú datagramokat, amelyek logikai hibát okoznak. Ezt kihasználva a 4444/UDP portra (alapértelmezetten nem engedélyezett) küldött speciálisan elkészített csomag segítségével meg lehet akadályozni a további kérések feldolgozását.
- Az RSLinx Enterprise Software (LogReceiver.exe és Logger.dll) nem megfelelően kezeli a túlságosan nagy méretű datagramokat, amelyek logikai hibát okoznak. Ezt kihasználva a 4444/UDP portra (alapértelmezetten nem engedélyezett) küldött speciálisan elkészített csomag segítségével a LogReceiver.exe leállását vagy akár tetszőleges kód végrehajtását lehet előidézni.
A sérülékenységeket távolról ki lehet használni.
Megoldás
A gyártó javasolja, hogy az FTSP vagy RSLinx CPR9 – CPR9-SR4 eszközöket használók frissítsenek a CPR9-SR5 verzióra vagy annál újabbra, illetve az FTSP or RSLinx CPR9-SR5 verziót használók telepítsék a megfelelő javításokat.
További javaslatok a kockázatok csökkentésére:
- Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
- A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
- Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: rockwellautomation.custhelp.com
Egyéb referencia: ics-cert.us-cert.gov
CVE-2012-4713 - NVD CVE-2012-4713
CVE-2012-4714 - NVD CVE-2012-4714
CVE-2012-4695 - NVD CVE-2012-4695
CVE-2012-4715 - NVD CVE-2012-4715