0
0
A análise recente de um fornecedor de segurança da plataforma de controlador lógico programável (PLC) da Rockwell Automation descobriu duas vulnerabilidades sérias que dão aos invasores uma maneira de modificar processos de automação e potencialmente interromper operações industriais, causar danos físicos às fábricas ou tomar outras ações maliciosas.
Pesquisadores da Claroty Team82 descobriram as vulnerabilidades e esta semana as descreveram como sendo semelhantes a Stuxnet por natureza por causa de como permitem que os atacantes executem códigos maliciosos em um PLC sem desencadear qualquer comportamento obviamente incomum.
A Rockwell Automation publicou simultaneamente avisos sobre as duas falhas para seus clientes. Os avisos são acessíveis aqui e aqui, para aqueles que têm uma conta.
As vulnerabilidades provocaram um alerta da Agência de Segurança cibernética e infraestrutura dos EUA (CISA) na quinta-feira que aponta as organizações que usam os componentes afetados para medidas de mitigação e um método de detecção para enfrentar a ameaça. A agência diz que as vulnerabilidades impactam organizações críticas do setor de infraestrutura em todo o mundo. Identifica as vulnerabilidades como envolvendo baixa complexidade de ataque e uma delas como sendo remotamente explorável.
Vulnerabilidade remotamente explorável
A vulnerabilidade remotamente explorável (CVE-2022-1161) tem uma classificação máxima de gravidade de 10 e está presente no firmware PLC em execução nas linhas de controle ControlLogix, CompactLogix e GuardLogix da Rockwell.
Essas são as principais linhas de PLCs no catálogo da Rockwell, diz Amir Preminger, vice-presidente de pesquisa da Claroty. “Esses dispositivos são comuns em quase todas as verticais, incluindo automotivo, alimentos & bebidas e óleo & gás”, diz Preminger. “A única indústria que podemos pensar onde não esperaríamos vê-los é a transmissão e distribuição de energia.”
Preminger diz que a vulnerabilidade está ligada ao fato de que o PLC armazena o arquivo executável — ou bytecode — e o código-fonte (também conhecido como código textual) em locais separados no PLC. Isso dá aos atacantes uma maneira de modificar o bytecode sem alterar o código-fonte.
“O PLC não exige que os dois sejam compatíveis”, diz Preminger. “Quando um engenheiro se conecta a um PLC, eles veriam o mesmo código textual em execução, enquanto o bytecode que foi alterado resulta em código malicioso em execução sem qualquer indicação de alteração.” A Claroty identificou 17 modelos Rockwell PLC como afetados.
O alerta da CISA diz que o problema decorreu da falha no controle da inclusão da funcionalidade de uma esfera não confiável. Suas recomendações para resolver o problema estão disponíveis aqui.
Vulnerabilidade de injeção de código
A segunda vulnerabilidade (CVE-2022-1159) está presente no Studio 5000 Logix Designer da Rockwell, o software que os engenheiros usam para programar seus PLCs. O software permite que os engenheiros desenvolvam, compilem e transfiram a lógica recém-desenvolvida para a linha de controladores lógicos programáveis da empresa.
É comum que engenheiros em ambientes de tecnologia operacional façam upgrades para a lógica complexa em PLCs para melhorar, ajustar ou modificar qualquer processo que o PLC esteja controlando, diz Preminger. A vulnerabilidade no Studio 5000 Logix Designer permite que um invasor que já tenha acesso administrativo na estação de trabalho executando o software sequestrem o processo de compilação e injetem código malicioso, que eles podem executar no PLC sem acionar qualquer alerta.
“O CVE-2022-1159 permite que um invasor altere o código à medida que está sendo compilado sem o conhecimento do usuário”, diz Preminger. “Isso poderia resultar em alteração da lógica que o engenheiro pensou que estavam transferindo para o PLC.”
A vulnerabilidade foi atribuída a uma classificação de gravidade de 7,7 em 10, o que a torna de alta prioridade, mas não necessariamente uma vulnerabilidade crítica. A assessoria da CISA para a falha chamou de problema de injeção de código.
Potencial para ataques semelhantes a Stuxnet?
Ambas as vulnerabilidades existem em diferentes componentes da Rockwell Automation. Mas eles permitem que os invasores façam essencialmente a mesma coisa: alterar o fluxo lógico em um PLC para acionar novos comandos que estão sendo definidos para os dispositivos físicos que estão sendo controlados pelo sistema. Como exemplo, os pesquisadores da Claroty disseram que mudaram certas tags — ou variáveis de processos de automação — para diferentes valores, o que, em uma situação real, poderia ter resultado em coisas como velocidades do motor sendo manipuladas para causar danos significativos a um processo de automação.
“Este é um ataque do tipo Stuxnet porque o Stuxnet foi o primeiro ataque relatado que ocultou o código de execução em um PLC enquanto deixava os engenheiros acreditarem que o código normal foi executado”, diz Preminger. “Stuxnet alterou todas as indicações visuais de que algo mais estava funcionando que, no caso de Stuxnet, resultou em centrífugas girando mais rápido do que o pretendido e causando um resultado inesperado.”
As preocupações com a segurança do ICS não são novas. Mas eles têm aumentado nos últimos anos. Um estudo recente da Claroty encontrou um aumento de 52% nas vulnerabilidades relatadas do ICS em 2021 em relação a 2020. Esse é um crescimento significativamente maior em comparação com o aumento de 25% nas vulnerabilidades divulgadas do ICS entre 2019 e 2020. Dos 82 fornecedores cujos produtos ICS continham vulnerabilidades no ano passado, 21 não haviam relatado anteriormente nenhuma falha, o que significa que os pesquisadores começaram a caçar mais amplamente os bugs do ICS.
Um relatório anterior divulgado pela Claroty no ano passado mostrou que 90% das vulnerabilidades divulgadas nos primeiros seis meses de 2021 tinham baixa complexidade de ataque e 71% tinham índices de gravidade de ‘alta’ ou ‘crítica’. Mais de seis em cada 10 (61%) eram remotamente executáveis, e 74% não necessitavam de privilégios para executar.
Ataques como o do Colonial Pipeline e relatórios como o que o FBI publicou recentemente sobre os operadores do infame malware Triton que continuam a atacar organizações do setor de energia — da mesma forma que fizeram em uma empresa de energia da Arábia Saudita em 2017 — exacerbaram significativamente essas preocupações. Tais preocupações contribuíram para novos investimentos e iniciativas significativas em torno da segurança cibernética do governo dos EUA no último ano.
FONTE: DARK READING