Bugs no Rockwell Automation ControlLogix Expõe Sistemas Industriais a Ataques Remotos
13 de Julho de 2023

A Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA) alertou sobre duas falhas de segurança que afetam os modelos de módulo de comunicação Rockwell Automation ControlLogix EtherNet/IP (ENIP) que poderiam ser exploradas para alcançar a execução remota de código e a negação de serviço (DoS).

"Os resultados e o impacto da exploração dessas vulnerabilidades variam dependendo da configuração do sistema ControlLogix, mas eles podem levar à negação ou perda de controle, negação ou perda de visão, roubo de dados operacionais ou manipulação de controle para consequências disruptivas ou destrutivas no processo industrial para o qual o sistema ControlLogix é responsável", disse Draogos.

A lista de falhas é a seguinte:

- CVE-2023-3595 (pontuação CVSS: 9.8) - Uma falha de gravação fora dos limites que impacta os produtos 1756 EN2* e 1756 EN3* que pode resultar na execução arbitrária de código com persistência no sistema alvo através de mensagens de protocolo industrial comum (CIP) maliciosamente elaboradas.
- CVE-2023-3596 (pontuação CVSS: 7.5) - Uma falha de gravação fora dos limites que impacta os produtos 1756 EN4* que pode levar a uma condição de DoS através de mensagens CIP maliciosamente criadas.

"A exploração bem-sucedida dessas vulnerabilidades pode permitir que atores maliciosos obtenham acesso remoto à memória em execução do módulo e realizem atividades maliciosas", disse a CISA.

Ainda pior, as falhas poderiam ser abusadas para potencialmente sobrescrever qualquer parte do sistema para voar sob o radar e manter a persistência, sem mencionar tornar o módulo confiável.

Os dispositivos impactados incluem 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2FK, 1756-EN3TR, 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK, e 1756-EN4TRXT.

Correções foram disponibilizadas pela Rockwell Automation para resolver os problemas.

"O tipo de acesso fornecido pelo CVE-2023-3595 é semelhante ao zero-day empregado pela XENOTIME no ataque TRISIS", disse a empresa de cibersegurança industrial.

"Ambos permitem a manipulação arbitrária da memória do firmware, embora o CVE-2023-3595 tenha como alvo um módulo de comunicação responsável pelo manuseio de comandos de rede.

No entanto, seu impacto é o mesmo".

TRISIS, também conhecido como TRITON, é um malware de sistemas de controle industrial (ICS) que foi previamente observado atacando os controladores do sistema de instrumentação de segurança Triconex da Schneider Electric usados em instalações de petróleo e gás.

Uma planta petroquímica na Arábia Saudita foi descoberta como vítima no final de 2017, de acordo com o Dragos e Mandiant.

Dragos alertou que descobriu uma "capacidade de exploração inédita aproveitando essas vulnerabilidades" que estão associadas a um grupo de estado-nação identificado e que a partir de meados de julho de 2023, "não havia evidências de exploração e as organizações vítimas visadas e os setores da indústria eram desconhecidos".

"Além do comprometimento do próprio módulo vulnerável, a vulnerabilidade também pode permitir que um invasor afete o processo industrial juntamente com a infraestrutura crítica subjacente, o que pode resultar em possíveis interrupções ou destruições", disse o pesquisador da Tenable, Satnam Narang, sobre o CVE-2023-3595 .

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...