Rockwell termékek szolgáltatás megtagadásos sérülékenysége


2012. december 11. 11:39

CH azonosító

CH-8065

Angol cím

ROCKWELL ALLEN-BRADLEY MICROLOGIX, SLC 500, AND PLC-5 FAULT GENERATION VULNERABILITY

Felfedezés dátuma

2012.12.09.

Súlyosság

Magas

Érintett rendszerek

1762 MicroLogix
PLC-5
Rockwell Automation
SLC 500

Érintett verziók

Rockwell Automation 1762 MicroLogix 1200 Controllers
Rockwell Automation 1763 MicroLogix 1100 Controllers
Rockwell Automation 1764 MicroLogix 1500 Controllers
Rockwell Automation 1766 MicroLogix 1400 Controllers
Rockwell Automation PLC-5 Controller
Rockwell Automation SLC 500 Controller

Összefoglaló

A Rockwell Automation vezérlők egy sérülékenységét jelentették, amit kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

A sérülékenységet a TCP és UDP 2222 illetve 44818 portokra küldött speciálisan összeállított csomagok segítségével lehet kihasználni, amelynek következtében a szolgáltatás megtagadás következik be, ami után csak közvetlen, fizikai hozzáféréssel lehet újraindítani az eszközt.

A sérülékenységet az alábbi termékekben jelentették:

  • MicroLogix 1100 controller
  • MicroLogix 1200 controller
  • MicroLogix 1400 controller
  • MicroLogix 1500 controller
  • SLC 500 controller platform
  • PLC-5 controller platform

A sérülékenységet távolról ki lehet használni.

Megoldás

A gyártó az alábbi lépéseket javasolja a probléma megoldására (ha lehetséges, akkor párhuzamosan többet kell használni!):

  • Ha lehetséges, módosítsanak az eszköz beállításain:

               SLC-500: Status fájlt „Static”-ra kell állítani!
               PLC-5: engedélyezni kell a Passwords és Privileges funkciókat!

  • Többrétegű biztonsági megoldást kell alkalmazni, korlátozni kell az eszközhöz történő hozzáférést!
  • Tűzfal telepítése a kimenő és bejövő forgalom szűrésével, behatolás érzékelő és megelőző rendszerek használata, valamint az összes konfiguráció ellenőrzése! A tűzfalon blokkolni kell a nem megfelelő kimenő és bejövő forgalmat!
  • Blokkolni kell az összes EtherNet/IP vagy más CIP protokoll alapú forgalmat, ami a hálózaton lévő eszközt próbálja meg elérni kívülről a TCP és UDP 2222 illetve 44818 portokon keresztül!
  • Csak az arra illetékes személyek férhessenek hozzá az eszközhöz mind fizikailag, mind pedig távoli felhasználással!
  • A Rockwell termékeket érintő további biztonságot érintő tanácsokat az alábbi hivatkozáson találhat: http://www.rockwellautomation.com/services/security/

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 51534
Egyéb referencia: www.us-cert.gov
Egyéb referencia: www.us-cert.gov

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »