一个严重的易于利用的漏洞(CVE-2021-22681)可能允许攻击者远程连接到许多罗克韦尔自动化’的可编程逻辑控制器(可编程逻辑控制器)并安装新的(恶意)固件,请更改设备’的配置,依此类推。由于这些因素,该漏洞已获得最高CVSS v3严重性评分– 10.0.
关于漏洞(CVE-2021-22681)
罗克韦尔自动化’s PLC在世界范围内用于控制工业设备。该漏洞可能使攻击者发现用于验证罗克韦尔Logix控制器与其工程师站之间的通信的加密密钥。
“拥有此密钥的攻击者可以模仿工作站,因此可以操纵在PLC上运行的配置或代码(上传/下载逻辑),并直接影响制造过程,” 克拉罗蒂 研究人员 解释了.
CVE-2021-22681影响公司的多个系列’s Logix controllers:
- CompactLogix 1768、1769、5370、5380和5480
- ControlLogix 5550、5560、5570和5580
- DriveLogix 5560、5730和1794-L34
- 紧凑型GuardLogix 5370和5380
- GuardLogix 5570和5580
- SoftLogix 5800
实际上,所有运行RSLogix 5000(版本16至20)和Studio 5000 Logix Designer(版本21及更高版本)的设备都容易受到攻击。
该怎么办?
该漏洞已由Claroty,卡巴斯基实验室和韩国Soonchunhyang大学的信息系统安全保证实验室的研究人员独立发现。
好消息是,根据美国CISA的说法,没有已知的专门针对此身份验证绕过漏洞的公共漏洞利用。
没有可用的修复程序,但罗克韦尔自动化建议管理员实施特定的缓解措施(例如,将易受攻击的控制器的模式切换为“运行”模式,进行部署 CIP安全 –EtherNet / IP网络的开放标准安全通信机制–适用于Logix Designer连接)和更通用的连接(网络分段,其他安全控制,例如将设备与其他网络和Internet隔离,安全的远程访问)。
他们还提供了有关管理员如何检测攻击者可能对配置文件或应用程序文件进行的任何更改的建议。 (这 CISA咨询 拥有更多信息。)
