Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en dispositivos MicroLogix 1400

Fecha de publicación: 02/04/2018

Importancia: Crítica

Recursos afectados:

  • Allen-Bradley Micrologix 1400 Series B FRN 21.003
  • Allen-Bradley Micrologix 1400 Series B FRN 21.002
  • Allen-Bradley Micrologix 1400 Series B FRN 21.0
  • Allen-Bradley Micrologix 1400 Series B FRN 15

Descripción:

Los investigadores Jared Rittle y Patrick DeSantis, de Cisco Talos, han reportado múltiples vulnerabilidades que afectan a productos de Rockwell y que podrían causar la denegación del servicio,la divulgación de información confidencial, la pérdida de comunicación y/o la modificación de la configuración o la escala lógica.

Solución:

Se recomienda actualizar el firmware de los dispositivos afectados a la versión:

  • Allen-Bradley Micrologix 1400 FRN 21.004

Para usuarios de Micrologix 1400 Serie A o para usuarios de Micrologix 1100 se recomienda migrar a Micrologix 1400 Serie B o C y para esto Rockwell Automation recomienda que se pongan en contacto con su distribuidor. Puede encontrar más información en la página de Rockwell Automation sobre esta vulnerabilidad.

Además se recomienda a los usuarios afectados establecer el valor de la clave ?keyswitch? al valor ?Hard Run? para evitar cualquier cambio no autorizado.

Cisco Talos también ha generado reglas de seguridad para SNORT para detectar posibles ataques que utilicen estas vulnerabilidades, con los siguientes identificadores (SID): 44424, 44425, 44426, 44427, 44428 y 44429

Detalle:

Las vulnerabilidades detectadas por los investigadores de Cisco Talos son las siguientes:

  • Vulnerabilidad de denegación de servicio por un paquete malformado de la tarjeta Ethernet: esta vulnerabilidad permitiría a un atacante alterar el ciclo de potencia del dispositivo y causar un fallo del mismo, para aprocecharse de esta vulnerabilidad además no es necesario utilizar Ethernet/IP por lo que deshabilitarlo usando RSLogix no sería suficiente. Se ha asignado el identificador CVE-2017-12088 para esta vulnerabilidad.
  • Vulnerabilidad de denegación de servicio mediante la funcionalidad de descarga: Un atacante remoto no autenticado podría enviar un paquete especialmente diseñado al controlador durante el proceso de descarga estándar. Sin el paquete adecuado para indicar la finalización de la descarga, el controlador. Se ha asignado el identificador CVE-2017-12089 para esta vulnerabilidad.
  • Vulnerabilidad de denegación de servicio con una solicitud de establecimiento de SNMP: Una solicitud de configuración de SNMP especialmente diseñada, cuando se envía sin los valores adecuados para cambiar parámetros del firmware podría causar que el dispositivo se apague y cause la denegación de servicio. Se ha asignado el identificador CVE-2017-12090 para esta vulnerabilidad.
  • Vulnerabilidad en el control de acceso al dispositivo: Un atacante remoto no autenticado podría enviar un paquete especialmente diseñado al dispositivo afectado y utilizar operaciones de lectura o escritura que podrían generar varios impactos potenciales, que van desde la divulgación de información confidencial, la modificación de configuraciones o la modificación de la lógica del programa. Se han asignado los identificadores CVE-2017-14462 a CVE-2017-14473 para esta vulnerabilidad en función del parámetro o fichero afectado.
  • Vulnerabilidad de escritura de archivos en el módulo de memoria: El módulo de memoria instalado en un controlador MicroLogix que permite al usuario instruir al controlador para que escriba su programa en el módulo sin autenticación. El módulo de memoria es una copia de seguridad, pero también se puede usar para cargar programas una vez que se produce un error, y tiene la capacidad de cargar el programa cada vez que se enciende el dispositivo. Se ha asignado el identificador CVE-2017-12092 para esta vulnerabilidad.
  • Vulnerabilidad de registro de sesión maliciosa o pérdida de las comunicaciones: El controlador MicroLogix 1400 admite diez sesiones activas a la vez. La vulnerabilidad descubierta consiste en que un usuario malintencionado puede enviar sus propios paquetes de sesión para crear su propia conexión con el controlador, evitando que los usuarios válidos accedan al PLC. Además cuando ya hay diez conexiones, al enviar una nueva la más antigua se desconecta provocando el corte de la comunicación. Se ha asignado el identificador CVE-2017-12093 para esta vulnerabilidad.

Etiquetas: Actualización, SCADA, Vulnerabilidad