Especificamente, ele explora uma fraqueza no recurso Trusted Slot do chassi ControlLogix 1756, parte integrante de muitos sistemas de controle industrial.
O controlador Rockwell Automation Logix é projetado para evitar que canais de comunicação não confiáveis interajam com a unidade de processamento central (CPU) do PLC. No entanto, a falha permite que um invasor contorne essa proteção, potencialmente permitindo modificações não autorizadas em projetos de usuários e configurações de dispositivos.
A análise detalhada da Claroty , publicada em 1º de agosto de 2024, destaca o potencial de um invasor com acesso a um chassi 1756 afetado para explorar essa vulnerabilidade. A falha permite que invasores enviem comandos que podem alterar configurações ou adicionar programas não autorizados à CPU do PLC, ignorando a segurança do Trusted Slot .
A vulnerabilidade de bypass de segurança afeta vários produtos Rockwell Automation, incluindo o ControlLogix® 5580 (1756-L8z) e o GuardLogix 5580 (1756-L8zS) com versões de firmware até V28 e V31, respectivamente. Esses problemas são resolvidos nas versões de firmware V32.016, V33.015, V34.014 e V35.011 ou posteriores. O 1756-EN4TR com versão V2 também é afetado, mas corrigido na V5.001 e posteriores.
Os modelos das séries A/B/C 1756-EN2T, 1756-EN2F, 1756-EN2TR e 1756-EN3TR não têm correções e são aconselhados a atualizar para as séries D ou C. Para aqueles que não conseguem atualizar, a Rockwell Automation sugere mitigar o risco limitando os comandos CIP por meio do conjunto de chaves do modo RUN para evitar a potencial exploração da vulnerabilidade de bypass de segurança.
Conforme descrito no aviso CVE-2024-6242 da CISA , essa falha permite que um invasor explore o protocolo CIP para saltar entre slots de backplane locais dentro do chassi. Isso resulta em ignorar o limite de segurança pretendido e permite a comunicação com a CPU de uma placa de rede não confiável.
O CVE-2024-6242 foi classificado com uma pontuação base CVSS v3.1 de 8,4/10 e uma pontuação base CVSS v4.0 de 7,3/10. A vulnerabilidade é categorizada em CWE-420: Canal alternativo desprotegido. O vetor CVSS v3.1 inclui métricas para vetor de acesso, complexidade de ataque, privilégio necessário e outros, enquanto o vetor CVSS v4.0 inclui métricas adicionais para tipo de ataque, complexidade de versão e impacto de segurança.
A série ControlLogix 1756 da Rockwell Automation, uma plataforma robusta para automação industrial de alto desempenho, usa o protocolo CIP para comunicação. Este protocolo facilita a troca de dados entre dispositivos como sensores, atuadores e controladores dentro de uma rede. O chassi 1756 serve como um gabinete modular que abriga vários módulos de E/S e processadores de comunicação, cruciais para a interoperabilidade do dispositivo.
Para abordar o CVE-2024-6242, a Rockwell Automation recomenda atualizar os produtos afetados para as versões de firmware mais recentes. Usuários com dispositivos que não podem ser atualizados devem aplicar as seguintes estratégias de mitigação:
Para mitigar o risco de exploração da recente vulnerabilidade de bypass de segurança nos controladores Logix da Rockwell Automation, é recomendável limitar os comandos CIP configurando a chave de modo para a posição RUN e minimizar a exposição da rede garantindo que os sistemas de controle não sejam acessíveis pela Internet.
Empregar firewalls para isolar redes de sistemas de controle de redes empresariais e usar Redes Privadas Virtuais (VPNs) atualizadas para acesso remoto seguro também é aconselhável. A Cybersecurity and Infrastructure Security Agency (CISA) enfatiza a importância de conduzir uma análise de impacto completa e avaliação de risco antes de implementar quaisquer medidas defensivas.
Para detecção de ameaças futuras, uma nova regra Snort foi introduzida para identificar comportamentos suspeitos de roteamento CIP que podem indicar tentativas de explorar vulnerabilidades semelhantes a CVE-2024-6242. Esta regra monitorará solicitações abertas de encaminhamento CIP anormais envolvendo redirecionamentos de chassis locais, aprimorando a capacidade de detectar e responder a ameaças potenciais.
No geral, a descoberta dessa vulnerabilidade destaca a necessidade crítica de as organizações manterem firmware atualizado e práticas de segurança robustas. Os usuários afetados devem aplicar patches ou mitigações prontamente e permanecer vigilantes ao seguir as melhores práticas de segurança cibernética para se proteger contra ameaças em evolução em sistemas de controle industrial.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…