APT sem nome vê vulnerabilidades em contollers industriais da Rockwell Automation (CVE-2023-3595, CVE-2023-3596)

Views: 320
0 0
Read Time:2 Minute, 58 Second

A Rockwell Automation corrigiu duas vulnerabilidades (CVE-2023-3595, CVE-2023-3596) nos módulos de comunicação de seus controladores lógicos programáveis industriais ControlLogix (PLCs), antes da exploração esperada (e provável) in-the-wild.

“Um recurso de exploração não lançado que aproveita essas vulnerabilidades está associado a um grupo APT (Advanced Persistent Threat) sem nome”, afirmou a empresa de segurança cibernética industrial Dragos na quarta-feira.

Sobre as vulnerabilidades (CVE-2023-3595, CVE-2023-3596)

O CVE-2023-3595 permite que invasores manipulem a memória de firmware, executem a execução remota de código com persistência e modifiquem, neguem e exfiltrem dados que passam pelo dispositivo. Ela afeta as séries 1756 EN2* e 1756 EN3* dos módulos ControlLogix.

CVE-2023-3596 pode ser usado para disparar uma condição de negação de serviço e afeta a série 1756-EN4* de módulos ControlLogix.

Ambas as vulnerabilidades podem ser acionadas por meio de mensagens CIP (Common Industrial Protocol) criadas com códigos maliciosos.

“Os resultados e o impacto da exploração dessas vulnerabilidades variam dependendo da configuração do sistema ControlLogix, mas podem levar à negação ou perda de controle, negação ou perda de visão, roubo de dados operacionais ou manipulação de controle para consequências disruptivas ou destrutivas no processo industrial pelo qual o sistema ControlLogix é responsável”, apontaram os especialistas da Dragos.

Corrigir, mitigar, detectar

Os módulos de comunicações vulneráveis são usados por organizações em uma variedade de setores, incluindo manufatura, energia e transporte.

Uma lista completa de produtos afetados pode ser encontrada em avisos publicados pela Agência de Cibersegurança e Infraestrutura (CISA) e pela Rockwell Automation (esta última só pode ser acessada com uma conta válida).

Ambos os avisos também contêm conselhos de mitigação e detecção, mas a primeira ação que os administradores devem fazer é atualizar o firmware dos dispositivos para um com uma correção. “A Rockwell Automation forneceu patches para todos os produtos afetados, incluindo séries de hardware que estavam sem suporte”, apontaram os especialistas da Dragos.

Eles também aconselham restringir o acesso às portas TCP/44818 e UDP/2222 em dispositivos afetados e segmentar esses módulos longe da internet e outras redes desnecessárias.

O CIP Socket Object deve ser desabilitado, se possível, dizem eles, e as organizações devem monitorar para:

  • Pacotes CIP inesperados ou fora de especificação para objetos CIP implementados nos módulos de comunicação ControlLogix
  • Varredura desconhecida em uma rede para dispositivos habilitados para CIP
  • Atualizações de firmware não programadas ou downloads lógicos
  • Desativação inesperada das opções de inicialização segura
  • Gravações arbitrárias na memória ou firmware do módulo de comunicação
  • Nomes de arquivos de firmware incomuns

“Saber sobre uma vulnerabilidade de propriedade da APT antes da exploração é uma oportunidade rara de defesa proativa para setores industriais críticos. O tipo de acesso fornecido pelo CVE-2023-3595 é semelhante ao dia zero empregado pelo XENOTIME no ataque TRISIS. Ambos permitem a manipulação arbitrária de memória de firmware, embora o CVE-2023-3595 tenha como alvo um módulo de comunicação responsável por manipular comandos de rede. No entanto, seu impacto é o mesmo”, acrescentaram.

“Além disso, em ambos os casos, existe o potencial de corromper as informações usadas para resposta e recuperação de incidentes. O invasor pode potencialmente substituir qualquer parte do sistema para se esconder e permanecer persistente, ou as interfaces usadas para coletar resposta a incidentes ou informações forenses podem ser interceptadas por malware para evitar a detecção. A exploração desse tipo de vulnerabilidade torna o módulo de comunicação não confiável, e ele precisaria ser desativado e enviado de volta ao fornecedor para análise.”

FONTE: HELPNET SECURITY

POSTS RELACIONADOS