Rockwell Automation PanelView Plus’ta iki güvenlik açığı keşfedildi. Kimliği doğrulanmamış saldırganlar bunları uzaktan kullanarak uzaktan kod yürütme (RCE) ve hizmet reddi saldırıları gerçekleştirebilir.
Rockwell Automation, Inc., endüstriyel otomasyon ve dijital dönüşüm teknolojisi alanında faaliyet gösteren bir Amerikan sağlayıcısıdır. Markalar arasında FactoryTalk, Allen-Bradley ve LifecycleIQ Services yer almaktadır.
PanelView Plus cihazları endüstriyel sektörde grafik terminalleri olarak kullanılır ve bazen insan-makine arayüzleri veya HMI’lar olarak da adlandırılır.
Microsoft, PanelView Plus’taki iki özel sınıfın, cihaza kötü amaçlı bir DLL yüklemek ve yüklemek için kullanılabilecek bir RCE saldırısına karşı savunmasız olduğunu iddia ediyor.
DoS güvenlik açığı, cihazın işleyemeyeceği özel olarak oluşturulmuş bir tampon göndermek için aynı özel sınıfı kullanır ve bu da hizmet reddi (DoS) durumuna neden olur.
PanelView Plus Cihazlarındaki Güvenlik Açıkları
Temel CVSS puanı 9,8 olan, CVE-2023-2071 olarak izlenen kritik güvenlik açığı, Uzaktan Kod Yürütmeye yol açan FactoryTalk View Machine Edition’ı etkiliyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Kimliği doğrulanmamış bir saldırgan, kullanıcı girdisini hatalı bir şekilde kontrol eden PanelView Plus’ın FactoryTalk View Machine Edition’ı aracılığıyla uzaktan kod yürütme elde etmek için kötü amaçlı paketler yürütebilir.
Microsoft, “Bir saldırgan, CIP sınıfını kullanarak cihaza kendi oluşturduğu bir kütüphaneyi yükleyebilir, bu da saldırganın güvenlik kontrolünü atlatmasına ve fonksiyonda yazılan herhangi bir kodu yürütmesine olanak tanır” dedi.
Etkilenen Ürünler ve Yayımlanan Yama
İkinci olarak, FactoryTalk® Linx’i etkileyen ve Hizmet Reddi ve Bilgi İfşası ile sonuçlanan yüksek öneme sahip bir güvenlik açığı CVE-2023-29464 olarak izlendi ve CVSS taban puanı 8,2’dir.
Kimliği doğrulanmamış bir tehdit aktörü, Rockwell Automation PanelViewTM Plus’taki FactoryTalk Linx’i kullanarak kötü amaçlı bir şekilde oluşturulmuş bir paketi bellekten veri okumak için kullanabilir.
Arabellek boyutunu aşan bir boyut gönderildiğinde, bellekteki veriler dışarı sızar ve gizli bilgiler açığa çıkar.
Microsoft, “Boyut yeterince büyükse, ortak endüstriyel protokol üzerinden yapılan iletişimlerin herhangi bir paket türüne yanıt vermemesine neden olur ve bu da ortak endüstriyel protokol üzerinden FactoryTalk® Linx’e hizmet reddiyle sonuçlanır” dedi.
Etkilenen Ürünler ve Yayımlanan Yama
Sömürü Yaklaşımı
Amaç, cihazın işletim sistemi olan Windows 10 IoT ile çalışacak bir DLL derlemekti.
Uzmanların cihazda çalıştırmak istediği kod, özel sınıf 1’in çağırabileceği meşru fonksiyon adlarından biri olan GetVersion adıyla dışarı aktarılacak olan bu DLL’de yer alacaktır.
Daha sonra, DLL’yi özel sınıf 2’yi kullanarak cihaza yükleyecekler, ona remotehelper.dll adını verecekler ve rastgele bir alt dizine koyacaklardı.
Uzmanlar, cihazın herhangi bir yürütülebilir dosyayı çalıştırabilmesini sağlayan InvokeExe adlı bir dışa aktarmayı içeren orijinal remotehelper.dll dosyasında bulunan bir özellikten yararlanıyor.
Uzmanlar, InvokeExe metoduna işaret etmek için izin verilen dışa aktarma adlarından birini değiştirdiler ve remotehelper.dll dosyasını yamaladılar.
Sonuç olarak, saldırının işe yaradığı ve uzmanların cihaz üzerinde tam yetkiye sahip olduğu doğrulandı.
Mevcut Düzeltmeleri Uygula
Ağınızdaki etkilenen cihazları düzeltmelerle güncelleyin. Belirlenen güvenlik açıkları PanelView Plus’taki FactoryTalk View ME v12/v13 ve FactoryTalk® Linx v6.20/v6.30’u etkiler.
Ağınızın cihazlarının bu güvenlik açıklarından etkilenip etkilenmediğini belirleyerek başlamanız önerilir. Cihaza uygun düzeltmeleri yüklemeniz de önerilir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files