0
0
Vulnerabilidades foram usadas para uma nova exploração que, caso fosse bem sucedida, poderia interromper as operações de organizações de infraestrutura crítica
Duas vulnerabilidades em produtos da Rockwell Automation foram usadas para uma nova exploração por um grupo de ameaça persistente avançada (APT) e, caso fosse bem-sucedida, poderia causar interrupção ou destruição em organizações de infraestrutura crítica.
De acordo com comunicado — acessível apenas para usuários registrados —, a Rockwell trabalhou com o governo dos EUA para analisar o que descreve como uma nova capacidade de exploração que aproveita as vulnerabilidades nos módulos de comunicação ControlLogix EtherNet/IP.
O produtos 1756 EN2 e 1756 EN3 são afetados por uma falha crítica, identificada pelo CVE-2023-3595, que pode permitir que um invasor obtenha a execução remota de código com persistência no sistema de destino usando mensagens CIP (Common Industrial Protocol) especialmente criadas. Um operador de ameaça pode explorar a vulnerabilidade para modificar, bloquear ou exfiltrar dados que passam por um dispositivo.
Os produtos 1756-EN4 são afetados pelo CVE-2023-3596, um bug de negação de serviço (DoS) de alta gravidade que pode ser explorado usando mensagens CIP especialmente criadas.
A Rockwell Automation lançou patches de firmware para cada produto afetado e compartilhou indicadores potenciais de comprometimento (IoCs), bem como regras de detecção. “Não temos conhecimento da exploração atual que alavanca essa capacidade, e a vitimização pretendida ainda não está clara”, disse a empresa. “A ciberatividade dos operadores de ameaças anteriores envolvendo sistemas industriais sugere uma alta probabilidade de que esses recursos foram desenvolvidos com a intenção de atingir a infraestrutura crítica e que o escopo da vítima pode incluir clientes internacionais. A atividade de ameaças está sujeita a mudanças e os clientes que usam produtos afetados podem enfrentar sérios riscos se expostos”.
A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, que ajudou a Rockwell a investigar as explorações, também divulgou um comunicado para alertar as organizações sobre as vulnerabilidades.
A empresa de segurança cibernética industrial Dragos também analisou as vulnerabilidades e a exploração, alertando que poderia — dependendo da configuração do dispositivo ControlLogix visado — permitir que invasores causem “negação ou perda de controle, negação ou perda de visão, roubo de dados operacionais ou manipulação de controle para consequências disruptivas ou destrutivas no processo industrial pelo qual o sistema ControlLogix é responsável”.
A Dragos disse que a capacidade de exploração parece ser obra de um APT não identificado, mas a empresa não encontrou nenhuma evidência de exploração na natureza até o momento e não está claro quais organizações ou setores podem ser visados.
No entanto, a empresa comparou o tipo de acesso fornecido pelo CVE-2023-3595 à falha de dia zero alavancada por um grupo patrocinado pelo estado vinculado à Rússia em ataques envolvendo o malware Trisis/Triton. “Ambos permitem a manipulação arbitrária da memória do firmware, embora o CVE-2023-3595 tenha como alvo um módulo de comunicação responsável por manipular comandos de rede. No entanto, seu impacto é o mesmo”, explicou a Dragos.
A empresa observou que “saber sobre uma vulnerabilidade de propriedade da APT antes da exploração é uma rara oportunidade de defesa proativa para setores industriais críticos”.
A notícia das explorações surgiu apenas algumas semanas depois de ter sido relatado que vários departamentos do governo dos EUA estavam investigando as operações da Rockwell em uma instalação na China, onde os funcionários podem ter acesso a informações que podem ser usadas para comprometer os sistemas dos clientes da empresa. Tem havido alguma preocupação de que os funcionários possam encontrar vulnerabilidades nos produtos da Rockwell e explorá-las em ataques de dia zero direcionados a sistemas nos EUA.
FONTE: CISO ADVISOR