Uma vulnerabilidade grave de bypass de segurança foi divulgada nos dispositivos Rockwell Automation ControlLogix 1756, que poderia ser explorada para executar comandos de programação e configuração do protocolo industrial comum (CIP).
A falha, que recebeu o identificador CVE
CVE-2024-6242
, tem uma pontuação CVSS v3.1 de 8.4.
"Existe uma vulnerabilidade nos produtos afetados que permite a um ator de ameaças contornar o recurso Trusted Slot em um controlador ControlLogix," disse a Agência de Cibersegurança e Infraestrutura de Segurança dos EUA (CISA) em um comunicado.
Se explorada em qualquer módulo afetado em um chassi 1756, um ator de ameaças poderia potencialmente executar comandos CIP que modificam projetos de usuários e/ou configuração de dispositivo em um controlador Logix no chassis.
A empresa de segurança de tecnologia operacional Claroty, que descobriu e relatou a vulnerabilidade, disse ter desenvolvido uma técnica que possibilitou o contorno do recurso de slot confiável e o envio de comandos maliciosos para o CPU do controlador lógico programável (PLC).
O recurso de slot confiável "aplica políticas de segurança e permite que o controlador negue comunicação através de caminhos não confiáveis no chassi local", disse o pesquisador de segurança Sharon Brizinov.
A vulnerabilidade que encontramos, antes de ser corrigida, permitia a um atacante pular entre slots de backplane locais dentro de um chassis 1756 usando roteamento CIP, atravessando a fronteira de segurança destinada a proteger o CPU de cartões não confiáveis.
Embora uma exploração bem-sucedida exija acesso à rede do dispositivo, um atacante poderia aproveitar a falha para enviar comandos elevados, incluindo baixar lógica arbitrária para o CPU do PLC, mesmo que o atacante esteja localizado atrás de um cartão de rede não confiável.
Após a divulgação responsável, o problema foi abordado nas seguintes versões -
ControlLogix 5580 (1756-L8z) - Atualizar para as versões V32.016, V33.015, V34.014, V35.011 e posteriores.
GuardLogix 5580 (1756-L8zS) - Atualizar para as versões V32.016, V33.015, V34.014, V35.011 e posteriores.
1756-EN4TR - Atualizar para as versões V5.001 e posteriores.
1756-EN2T Série D, 1756-EN2F Série C, 1756-EN2TR Série C, 1756-EN3TR Série B, e 1756-EN2TP Série A - Atualizar para a versão V12.001 e posteriores
"Essa vulnerabilidade tinha o potencial de expor sistemas críticos de controle ao acesso não autorizado sobre o protocolo CIP originado de slots de chassis não confiáveis," disse Brizinov.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...