网络研究人员发现了一个严肃验证罗克韦尔自动化PLC和工程软件之间通信的机制中存在缺陷。利用该漏洞,攻击者可以远程连接罗克韦尔几乎所有的Logix PLC可编程控制器,使用Logix技术驱动程序和安全控制器,上传恶意代码,从PLC下载信息或安装新固件。
美国政府网络安全和基础设施安全局(Cisa)警告称,攻击者可能会远程利用这一漏洞。使用CVSS(通用漏洞评分系统)评级方案,Cisa将漏洞评分设置为10分:最高注册。
2019年,来自韩国的网络研究人员美国克拉洛蒂大学、卡巴斯基大学和宋春阳大学联合并独立发现了这个漏洞。通常,在这种情况下,他们会警告罗克韦尔自动化的相关漏洞,并让其采取适当的补救措施。这一发现已经通过Cisa发布的ICS Cert公告发布。
该漏洞会影响罗克韦尔 Studio 5000 Logix Designer(版本21及以上)和RSLogix 5000(版本16-20)工程软件,以及很多Logix控制器,包括CompactLogix、ControlLogix、DriveLogix、GuardLogix和SoftLogix型号。
该漏洞的存在是因为软件使用密钥来验证与Logix controller的通信。未经身份验证的远程攻击者可以绕过这种身份验证机制,直接连接到控制器。
提取密钥的攻击者可以登录到任何Rockwell Logix控制器进行身份验证。这些密钥对与PLC的所有通信进行数字签名,PLC验证签名并授权与软件的通信。使用此密钥的攻击者可以模拟工作站,从而操纵PLC上运行的配置或代码,这可能会影响制造过程。
针对这一发现,罗克韦尔自动化公司发布了安全建议,描述了该漏洞如何影响Studio 5000 Logix Designer软件和相关控制器。
新发现的漏洞涉及罗克韦尔自动化 Studio 5000软件及其Logix控制器。
它推荐了几种可能的缓解措施,包括切换控制器模式到运行Logix designer连接的模式和部署CIP安全性。一旦正确部署,就可以防止未经授权的连接。如果运行模式无法实现,罗克韦尔建议根据受影响的Logix控制器的型号采取其他措施。
罗克韦尔还建议采取几种通用的缓解措施来降低漏洞的影响,首先是网络分段和安全控制,比如尽量减少控制系统对网络或互联网的暴露。它说,控制系统应该在防火墙后面,并在可行的情况下与其他网络隔离。
ICS Cert咨询包括罗克韦尔的所有缓解建议,包括对每个产品系列和版本的建议。它还推荐了几种检测方法,如果用户怀疑他们的配置已被修改,可以使用这些方法。
公告称,到目前为止,还没有针对该漏洞的已知公开攻击。林恩
标签:漏洞罗克韦尔软件