CISA varuje před pěti zranitelnostmi v průmyslových produktech Rockwell Automation
CISA zveřejnila 16. června pět bezpečnostních upozornění pro produkty Rockwell Automation používané v kritické výrobní infrastruktuře, energetice a dalších průmyslových sektorech. Zranitelnosti zahrnují odepření služby, vzdálené spuštění kódu a obejití autorizace.
Souhrn všech pěti upozornění ukazuje, jak velký a rozmanitý je útočný povrch moderního průmyslového prostředí. Rockwell Automation patří mezi přední výrobce programovatelných logických kontrolérů (PLC) a průmyslového softwaru; jeho produkty jsou nasazeny v automobilovém průmyslu, potravinářství, vodohospodářství, energetice i farmacii.
ICSA-26-167-01 – FactoryTalk Analytics PavilionX (verze nižší než 7.01): zranitelnost umožňuje neautorizovaným aktérům provádět privilegované operace včetně správy uživatelů a rolí v analytické platformě. Záplata je dostupná od výrobce ve verzi 7.01 a novější.
ICSA-26-167-02 – RSLinx Classic (verze 4.50.00 a starší): přetečení zásobníku (stack-based buffer overflow) sledované jako CVE-2020-13573. Zranitelný je komunikační server RSLinx Classic, základní součást propojení PLC se softwarovými aplikacemi. Vzdálený útočník může pomocí speciálně sestavených paketů způsobit pád procesu nebo potenciálně spustit libovolný kód. Záplata je dostupná ve verzi 4.60.00 nebo prostřednictvím záplaty BF31213 pro stávající verze.
ICSA-26-167-03 – Logix 5370 & 5570 Controllers: zranitelnost typu odepření služby prostřednictvím protokolu CIP (Common Industrial Protocol). Postiženy jsou řadiče CompactLogix 5370, Compact GuardLogix 5370, ControlLogix 5570 a GuardLogix 5570. Útočník s přístupem k průmyslové síti může odesláním speciálně sestavených CIP paketů vyvolat kritickou chybu řadiče.
ICSA-26-167-04 – CompactLogix 5370 L1, L2 a L3: chybějící ověření sekvenčních čísel a zdrojových IP adres v protokolu CIP. Řadiče CompactLogix 5370 jsou nasazeny na výrobních linkách, v čerpacích stanicích a energetických zařízeních. Útočník s přístupem na průmyslovou síť může odesláním speciálně sestaveného paketu přinutit řídicí jednotku přejít do stavu kritické chyby, který vyžaduje fyzický zásah technika a způsobuje výpadek provozu. Záplata je dostupná ve firmware verze v34.011 a novější; starší firmware řady 28 nebo 30 vyžaduje nejprve upgrade na podporovanou větev.
ICSA-26-167-05 – FLEX I/O EtherNet/IP Adapters (verze V2.012): podle dostupných informací jde o zranitelnosti s hodnocením CVSS 9.4. Adaptéry slouží k propojení vzdálených vstupně-výstupních modulů s řídicí sítí EtherNet/IP. Záplata je dostupná ve verzi V2.013.
Společným jmenovatelem všech pěti upozornění je dostupnost záplat od výrobce – a zároveň praktická obtížnost jejich nasazení v průmyslovém prostředí. Aktualizace firmwaru PLC vyžaduje plánované výrobní okno, koordinaci s provozem a testování automatizační logiky, které může trvat týdny. CISA proto souběžně doporučuje architektonická opatření: segmentaci sítě tak, aby řadiče nebyly dosažitelné z podnikové sítě ani internetu, nasazení DMZ mezi IT a OT sítěmi, zakázání nepotřebných protokolů a zabezpečení vzdáleného přístupu přes jump host s vícefaktorovou autentizací.
Pro organizace, které využívají tyto produkty v bezpečnostně kritických aplikacích, je okamžité ověření verze firmwaru a nastartování procesu záplatování nezbytným krokem.
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 25b
CISA varuje před pěti zranitelnostmi v průmyslových produktech Rockwell Automation
