A Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA) alertou sobre duas falhas de segurança que afetam os modelos de módulo de comunicação Rockwell Automation ControlLogix EtherNet/IP (ENIP) que poderiam ser exploradas para alcançar a execução remota de código e a negação de serviço (DoS).
"Os resultados e o impacto da exploração dessas vulnerabilidades variam dependendo da configuração do sistema ControlLogix, mas eles podem levar à negação ou perda de controle, negação ou perda de visão, roubo de dados operacionais ou manipulação de controle para consequências disruptivas ou destrutivas no processo industrial para o qual o sistema ControlLogix é responsável", disse Draogos.
A lista de falhas é a seguinte:
-
CVE-2023-3595
(pontuação CVSS: 9.8) - Uma falha de gravação fora dos limites que impacta os produtos 1756 EN2* e 1756 EN3* que pode resultar na execução arbitrária de código com persistência no sistema alvo através de mensagens de protocolo industrial comum (CIP) maliciosamente elaboradas.
-
CVE-2023-3596
(pontuação CVSS: 7.5) - Uma falha de gravação fora dos limites que impacta os produtos 1756 EN4* que pode levar a uma condição de DoS através de mensagens CIP maliciosamente criadas.
"A exploração bem-sucedida dessas vulnerabilidades pode permitir que atores maliciosos obtenham acesso remoto à memória em execução do módulo e realizem atividades maliciosas", disse a CISA.
Ainda pior, as falhas poderiam ser abusadas para potencialmente sobrescrever qualquer parte do sistema para voar sob o radar e manter a persistência, sem mencionar tornar o módulo confiável.
Os dispositivos impactados incluem 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2FK, 1756-EN3TR, 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK, e 1756-EN4TRXT.
Correções foram disponibilizadas pela Rockwell Automation para resolver os problemas.
"O tipo de acesso fornecido pelo
CVE-2023-3595
é semelhante ao zero-day empregado pela XENOTIME no ataque TRISIS", disse a empresa de cibersegurança industrial.
"Ambos permitem a manipulação arbitrária da memória do firmware, embora o
CVE-2023-3595
tenha como alvo um módulo de comunicação responsável pelo manuseio de comandos de rede.
No entanto, seu impacto é o mesmo".
TRISIS, também conhecido como TRITON, é um malware de sistemas de controle industrial (ICS) que foi previamente observado atacando os controladores do sistema de instrumentação de segurança Triconex da Schneider Electric usados em instalações de petróleo e gás.
Uma planta petroquímica na Arábia Saudita foi descoberta como vítima no final de 2017, de acordo com o Dragos e Mandiant.
Dragos alertou que descobriu uma "capacidade de exploração inédita aproveitando essas vulnerabilidades" que estão associadas a um grupo de estado-nação identificado e que a partir de meados de julho de 2023, "não havia evidências de exploração e as organizações vítimas visadas e os setores da indústria eram desconhecidos".
"Além do comprometimento do próprio módulo vulnerável, a vulnerabilidade também pode permitir que um invasor afete o processo industrial juntamente com a infraestrutura crítica subjacente, o que pode resultar em possíveis interrupções ou destruições", disse o pesquisador da Tenable, Satnam Narang, sobre o
CVE-2023-3595
.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...