羅克韋爾PLC發(fā)現(xiàn)嚴重漏洞，及其后果與應對措施

網(wǎng)絡研究人員在一個驗證羅克韋爾自動化PLC和工程軟件之間通信的機制中發(fā)現(xiàn)了一個“嚴重”的漏洞。利用此漏洞，攻擊者可以遠程連接到羅克韋爾幾乎所有的Logix PLC可編程控制器上，使用Logix技術(shù)的驅(qū)動器和安全控制器，上傳惡意代碼、從PLC下載信息或安裝新固件。

美國政府網(wǎng)絡安全和基礎(chǔ)設施安全局（Cisa）警告稱，攻擊者可能會遠程利用該漏洞。使用CVSS（通用漏洞評分系統(tǒng)）評級方案，Cisa將漏洞評分定為10分：最高登記。

2019年，韓國克拉洛蒂大學、卡巴斯基大學和宋春陽大學的網(wǎng)絡研究人員共同獨立發(fā)現(xiàn)了這一漏洞。通常在這種情況下，他們警告羅克韋爾自動化方面的相關(guān)漏洞，讓它采取適當?shù)难a救行動。這一發(fā)現(xiàn)已通過Cisa發(fā)布的ICS Cert公告發(fā)布。

該漏洞影響羅克韋爾的Studio 5000 Logix Designer（版本21及更高版本）和RSLogix 5000（版本16-20）工程軟件，以及許多Logix控制器，包括CompactLogix、ControlLogix、DriveLogix、GuardLogix和SoftLogix型號。

該漏洞的存在是因為軟件使用密鑰驗證與Logix控制器的通信。未經(jīng)驗證的遠程攻擊者可以繞過此驗證機制，直接連接到控制器上。

提取密鑰的攻擊者可以登陸任何Rockwell Logix控制器進行身份驗證。這些密鑰對所有與PLC的通信進行數(shù)字簽名，PLC驗證簽名并授權(quán)與軟件的通信。使用該鍵的攻擊者可以模擬工作站，從而操縱PLC上運行的配置或代碼，結(jié)果可能影響制造過程。

作為對這一發(fā)現(xiàn)的回應，羅克韋爾自動化公司發(fā)布了一份安全建議，描述了該漏洞如何影響Studio 5000 Logix Designer軟件和相關(guān)控制器。

最新發(fā)現(xiàn)的漏洞涉及羅克韋爾自動化公司的Studio 5000軟件與其Logix控制器之間的通信

它推薦了幾種可能的緩解措施，包括將控制器的模式切換到“運行”模式，以及為Logix設計器連接部署CIP安全性。正確部署后，可以防止未經(jīng)授權(quán)的連接。如果無法實現(xiàn)運行模式，羅克韋爾建議根據(jù)受影響的Logix控制器的型號采取其他措施。

羅克韋爾還建議采取幾種通用的緩解措施，以減輕漏洞的影響，首先是網(wǎng)絡分割和安全控制，如盡量減少控制系統(tǒng)對網(wǎng)絡或互聯(lián)網(wǎng)的暴露。它說，控制系統(tǒng)應該在防火墻后面，在可行的情況下與其他網(wǎng)絡隔離。

ICS Cert咨詢包括羅克韋爾的所有緩解建議，包括針對每個產(chǎn)品系列和版本的建議。它還推薦了幾種檢測方法，如果用戶懷疑其配置已被修改，可以應用這些方法。

該公告稱，到目前為止，還沒有已知的針對該漏洞的公開攻擊事件。
編輯：lyn