Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/02/05

Garrantzia: Ertaina

Kaltetutako baliabideak:

• Ethernet/IP Web Server Module 1756-EWEB (1756-EWEBK barne), v5.001 bertsioa eta lehenagokoak.
• CompactLogix 1768-EWEB kontrolatzaileen Ethernet/IP Web Server Module, v2.005 eta lehenagoko bertsioak.

Azalpena:

Tenablek paketeen kudeaketa desegokiaren erako ahultasun bat aurkitu du Rockwell Automation-en Ethernet/IP Web Server Module-n. Hori baliatuz urruneko erasotzaile batek komunikazioen ukapena eragin lezake SNMP bidez, gailua berrabiarazi arte.

Konponbidea:

Rockwell Automation-ek ahultasun honetarako ez du argitaratu inolako arintzerik partxe edo eguneraketa modura, eta erabiltzaile guztiei aholkatzen die produktuaren eskuliburuak dioen moduan SNMP zerbitzua desgaitzea, erabiltzen ez baldin badute behintzat.

Ondoko ekintzak egitea ere gomendatzen du:

• SNMP trafikoa kontrolatzeko sareko azpiegituran kontrolak erabiltzea, suebakiak esate baterako.
• Ethernet/IP trafiko guztia eta fabrikazio gunetik kanpo CIPen oinarritutako beste edozein protokolotakoa blokeatzea, 161/UDP ataka kontrolatuz.
• Bermeak dituen softwarea erabiltzea.
• Sarearen agerpena ahalik eta gehien murriztea.
• Gailuak eta kontrol sareak suebakiaren atzean kokatzea.
• Kanpoko sarbidea beharrezkoa bada VPN erabiltzea.

Xehetasuna:

• Autentifikaziorik gabeko erasotzaile batek gailuaren SNMP zerbitzuari eragingo lioketen gaizki sortutako UDP paketeak bidal litzake. Pakete horien kudeaketa desegokiak zerbitzuaren ukapena eragin lezake SNMPren kasuan (161/UDP ataka), gailua berrabiarazi bitartean. Web interfazeak jarraituko du adierazten zerbitzua exekutatzen ari dela, hala ez bada ere. Ahultasun horretarako CVE-2018-19016 identifikatzailea erreserbatu da.