Nesta semana, a Rockwell Automation publicou um aviso informando que detectou múltiplas vulnerabilidades nos módulos de comunicação em produtos ControlLogix. Estes módulos possuem a função de permitir a comunicação entre as máquinas e sistemas de IT e são utilizados em variados setores, incluindo energia, hídrico e transporte. A Tenable, em sua posição de empresa referência em cibersegurança, foi pré-notificada pela Rockwell e está trabalhando juntamente do Governo dos Estados Unidos para conscientizar os setores que podem ser afetados sobre o caso e evitar qualquer problema.
Sobre a Vulnerabilidade
O CVE-2023-3595 é uma vulnerabilidade de execução remota de código presente nos módulos de comunicação da Rockwell Automation Allen-Bradley ControlLogix. Um cibercriminoso pode explorar essa vulnerabilidade para obter a execução remota de código em um módulo vulnerável enviando mensagens de protocolo industrial comum (CIP) especialmente criadas para este propósito. O risco de exploração é ampliado se o módulo invadido não tiver conexão com a internet. Caso o criminoso tenha sucesso na invasão, ele terá a habilidade de comprometer a memória do módulo, dando a ele a liberdade de:
- Manipular o firmware de um módulo;
- Adicionar novas funcionalidades a ele;
- Limpar a memória do módulo;
- Gerar tráfego entre os módulos;
- Obtain persistence on a module.
Além de comprometer o módulo invadido, essa vulnerabilidade pode permitir também que o criminoso afete processos industriais subjacentes, podendo resultar em mais interrupção ou destruição de equipamentos.
CVE-2023-3596 é uma vulnerabilidade de negação de serviço (DoS) nos módulos de comunicação Rockwell Automation Allen-Bradley ControlLogix pertencente à família de produtos 1756 EN4*. Um invasor pode explorar essa vulnerabilidade para causar uma condição DoS em um sistema enviando uma mensagem CIP especialmente criada para afetar dispositivos vulneráveis.
Como resolver o problema
A Rockwell Automation divulgou uma versão corrigida do firmware para versões do ControlLogix modules. Mais informações podem ser encontradas na publicação da Tenable em seu blog.
Clientes da Tenable possuem diversas maneiras de checar se seus sistemas e instalar os plugins disponíveis. A publicação da Tenable em seu blog também traz mais informações sobre os passos que podem ser tomados. Os clientes do Tenable OT Security podem detectar módulos de comunicação comprometidos imediatamente seguindo as instruções no artigo de conhecimento básico linkado na postagem.