Rockwell Automation FactoryTalk és RSLinx sérülékenységek

CH azonosító

CH-8871

Angol cím

ROCKWELL AUTOMATION FACTORYTALK AND RSLINX MULTIPLE VULNERABILITIES

Felfedezés dátuma

2013.04.07.

Súlyosság

Magas

Érintett rendszerek

Factory Talk
RSLinx Enterprise
Rockwell Automation

Érintett verziók

FactoryTalk Services Platform
RSLinx Enterprise

Összefoglaló

A Rockwell Automation FactoryTalk és RSLinx olyan sérülékenységeit jelentették, amiket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, vagy feltörhetik a sérülékeny rendszert.

Leírás

  1. A FactoryTalk Services Platform (RNADiagnostics.dll) nem képes megfelelően kezelni a bemeneti adatokban szereplő negatív számokat, amit kihasználva a 4445/UDP portra küldött speciálisan elkészített, negatív számot tartalmazó csomaggal szolgáltatás megtagadást vagy az RNADiagnostics.dll vagy RNADiagReceiver.exe összeomlását lehet előidézni.
  2. A FactoryTalk Services Platform (RNADiagnostics.dll) nem képes megfelelően kezelni a bemeneti adatokban szereplő túlságosan nagy számokat, amit kihasználva a 4445/UDP portra küldött speciálisan elkészített, túlságosan nagy számot tartalmazó csomaggal szolgáltatás megtagadást lehet előidézni.
  3. Az RSLinx Enterprise Software (LogReceiver.exe és Logger.dll) nem megfelelően kezeli a 0 hosszúságú datagramokat, amelyek logikai hibát okoznak. Ezt kihasználva a 4444/UDP portra (alapértelmezetten nem engedélyezett) küldött speciálisan elkészített csomag segítségével meg lehet akadályozni a további kérések feldolgozását.
  4. Az RSLinx Enterprise Software (LogReceiver.exe és Logger.dll) nem megfelelően kezeli a túlságosan nagy méretű datagramokat, amelyek logikai hibát okoznak. Ezt kihasználva a 4444/UDP portra (alapértelmezetten nem engedélyezett) küldött speciálisan elkészített csomag segítségével a LogReceiver.exe leállását vagy akár tetszőleges kód végrehajtását lehet előidézni.

A sérülékenységeket távolról ki lehet használni.

Megoldás

A gyártó javasolja, hogy az FTSP vagy RSLinx CPR9 – CPR9-SR4 eszközöket használók frissítsenek a CPR9-SR5 verzióra vagy annál újabbra, illetve az FTSP or RSLinx CPR9-SR5 verziót használók telepítsék a megfelelő javításokat.

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!