Rockwell Automation ControlLogix EtherNet/IP (ENIP) iletişim modülü modellerinde, uzaktan kod yürütme gerçekleştirmek için kullanılabilecek ve hizmet reddine (DoS) neden olabilecek iki güvenlik sorunu bulunur.
ControlLogix sisteminin etkilenen iletişim modülleri, imalat, elektrik, petrol ve gaz ve sıvılaştırılmış doğal gaz dahil olmak üzere çeşitli endüstriyel sektörlerde bulunur. Bunlar ayrıca ControlLogix sisteminin bir bileşenidir.
ControlLogix sisteminin nasıl yapılandırıldığına bağlı olarak, bu güvenlik açıklarından yararlanmanın sonuçları ve etkisi değişiklik gösterir.
Yine de Dragos, ControlLogix sisteminin sorumlu olduğu endüstriyel süreç üzerinde yıkıcı veya zararlı etkilerle kontrolün reddedilmesine veya kaybedilmesine, görüşün reddedilmesine veya kaybedilmesine, operasyonel verilerin çalınmasına veya kontrolün manipüle edilmesine yol açabileceğini bildirdi.
Tespit Edilen Kusurlar
CVE-2023-3595 (CVSS puanı: 9,8):
Kontrol kaybı, görüş kaybı, işletim verilerinin çalınması ve/veya kontrol ve görüşün yıkıcı veya zarar verici etkilerle değiştirilmesine neden olabilecek keyfi bellenim belleği manipülasyonuna izin verir.
Bu güvenlik açığı, Rockwell Automation ControlLogix iletişim ürünleri 1756 EN2* ve 1756 EN3*’te bulunmaktadır.
CVE-2023-3596 (CVSS puanı: 7,5):
Kötü niyetli bir kullanıcı, kötü niyetli olarak hazırlanmış CIP mesajlarını kullanarak hedef sistemi onaylayarak bir hizmet reddi oluşturabilir. Bu güvenlik açığı, Rockwell Automation 1756-EN4* Ethernet/IP iletişim ürünlerinde bulunmaktadır.
Etkilenen Ürünler
Rockwell Automation ControlLogix 1756 EN2*, 1756 EN3* ve 1756 EN4* EtherNet/IP (ENIP) iletişim modülü serileri bu kusurlardan etkilenir.
Ek ICS/OT etkileri, ControlLogix sisteminin nasıl yapılandırıldığına ve işlemin çalışacak şekilde nasıl ayarlandığına bağlı olacaktır.
Şirket, CVE-2023-3595 tarafından sağlanan erişim türünün, XENOTIME’ın sıfır gün TRISIS saldırısında sağlanan erişim türüyle karşılaştırılabilir olduğunu söylüyor.
Her ikisi de isteğe bağlı donanım yazılımı bellek manipülasyonuna izin verirken, CVE-2023-3595 özellikle ağ komutlarını işleyen bir iletişim modülünü hedefler. Yine de birleşik etkileri aynıdır.
TRISIS olarak bilinen ve yaygın olarak TRITON olarak adlandırılan endüstriyel kontrol sistemleri (ICS) kötü amaçlı yazılımının geçmişte, petrol ve gaz tesislerinde kullanılan Schneider Electric’in Triconex güvenlik enstrümanlı sistem (SIS) denetleyicilerine saldırdığı görülmüştür.
Dragos, “Bu güvenlik açıklarından yararlanan yayınlanmamış bir yararlanma yeteneği, adsız bir APT (Gelişmiş Kalıcı Tehdit) grubuyla ilişkilidir” dedi.
“Temmuz 2023’ün ortası itibariyle, vahşi doğada istismara dair hiçbir kanıt yoktu ve hedeflenen kurban kuruluşlar ve sektör dikeyleri bilinmiyordu.”
Önerilen Okuma: Endüstriyel Kontrol Sistemi(ICS) Siber Savunması İçin En Önemli Husus
Öneri
Rockwell Automation, artık desteklenmeyen donanım modelleri de dahil olmak üzere etkilenen tüm ürünler için güncellemeler yayınladı. Ek olarak, algılama kuralları sunulmuştur.
Üretici yazılımını en yeni sürüme güncelleyin. Seriye bağlı olarak 1756-EN2* ve EN3* modellerini en az 11.004 veya 5.029 sürümüne güncellemek gerekir. 1756-EN4* modelleri, 5.002 sürümüne bir aygıt yazılımı güncellemesi gerektirecektir.
Savunmacılar, ICS/OT ayarlarında normalin nasıl göründüğünü anlamalı ve ağ etkinliğindeki değişiklikleri düzenli olarak kontrol etmek için ICS/OT protokolüne duyarlı teknolojiyi kullanmalıdır.