Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun MicroLogix 1400 gailuetan

Argitalpen data: 2018/04/02

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Allen-Bradley Micrologix 1400 Series B FRN 21.003
  • Allen-Bradley Micrologix 1400 Series B FRN 21.002
  • Allen-Bradley Micrologix 1400 Series B FRN 21.0
  • Allen-Bradley Micrologix 1400 Series B FRN 15

Azalpena:

Cisco Taloseko Jared Rittle eta Patrick DeSantis ikertzaileek Rockwell produktuei eragiten dieten hainbat ahultasunen berri eman dute. Horien ondorioz zerbitzuaren ukapena, informazio konfidentzialaren zabalkundea, komunikazioaren galera edota konfigurazioaren edo eskala logikoaren aldaketa eragin litezke.

Konponbidea:

Kaltetutako gailuen firmwarea ondoko bertsiora eguneratzea gomendatzen da:

  • Allen-Bradley Micrologix 1400 FRN 21.004

Micrologix 1400 Series Aren edo Micrologix 1100en erabiltzaileei gomendatzen zaie Micrologix 1400 Series B edo Cra migratzea eta horretarako Rockwell Automationek aholkatzen du nor bere banatzailearekin harremanetan jartzea. Ahultasun honi buruzko informazio gehiago  Rockwell Automationen orrian aurki daiteke.

Horrez gain, erabiltzaile kaltetuei gomendatzen zaie "keyswitch" giltzaren balioa "Hard Run" aukeran kokatzea, baimendu gabeko edozein aldaketa saihestearren.

Era berean, ahultasun horiek baliatuko lituzketen erasoak antzematearren, Cisco Talosek SNORTerako segurtasun arauak sortu ditu, ondoko identifikatzaileekin (SID): 44424, 44425, 44426, 44427, 44428 eta 44429.

Xehetasuna:

Cisco Taloseko ikertzaileek aurkitutako ahultasunak ondokoak dira:

  • Zerbitzuaren ukapen erako ahultasuna Ethernet txarteleko gaizki sortutako pakete batengatik: ahultasun hau baliatuz erasotzaile batek gailuaren potentzia zikloa alda lezake eta bere huts egitea lortu. Ahultasun hau baliatzeko, gainera, ez da beharrezkoa Ethernet/IP erabiltzea, eta hortaz, RSLogix erabiliz hura desgaitzea ez litzateke aski izango. Ahultasun horretarako CVE-2017-12088 identifikatzailea erabili da.
  • Zerbitzuaren ukapen erako ahultasuna deskargaren funtzionaltasuna erabiliz: Autentifikatu gabeko urruneko erasotzaile batek bereziki diseinatutako pakete bat bidal lezake kontrolatzailera, deskarga prozesu estandarra gertatzen ari denean. Deskargaren amaiera adierazteko pakete egokirik gabe, kontrolatzaileak huts egiten du. Ahultasun horretarako CVE-2017-12089 identifikatzailea erabili da.
  • Zerbitzuaren ukapen erako ahultasuna SNMP ezartzeko eskari batekin: bereziki diseinatutako SNMP konfigurazioaren eskaera batek, firmwarearen parametroak aldatzeko balio egokirik gabe bidaltzen denean, gailua itzaltzea eta zerbitzuaren ukapen egoera eragin litzake. Ahultasun horretarako CVE-2017-12090 identifikatzailea erabili da.
  • Gailura sartzeko kontrolean ahultasuna: Autentifikatu gabeko urruneko erasotzaile batek bereziki diseinatutako pakete bat bidal lezake kaltetutako gailura eta irakurketa edo idazketa eragiketak erabili. Horien bidez hainbat kalte eragin litzake, besteak beste: informazio konfidentzialaren zabalkundea, konfigurazioen aldaketa edo programaren logikaren aldaketa. Ahultasun honetarako CVE-2017-14462tik CVE-2017-14473ra bitarteko identifikatzaileak erabili dira, kaltetutako parametro edo fitxategiaren baitan.
  • Memoriaren moduluan fitxategien idazketa ahultasuna: MicroLogix kontrolatzaile batean instalatutako memoria modulua baliatuz erabiltzaileak kontrolatzaileari erakuts diezaioke bere programa moduluan idatz dezan autentifikaziorik gabe. Memoria modulua segurtasun kopia bat da baina, era berean, programak kargatzeko ere erabil daiteke akats bat gertatzen denean, eta programa kargatzeko ahalmena du gailua pizten den bakoitzean. Ahultasun horretarako CVE-2017-12092 identifikatzailea erabili da.
  • Saio gaiztoaren erregistro edo komunikazioen galera ahultasuna: MicroLogix 1400 kontrolatzaileak hamar saio aktibo onartzen ditu batera. Aurkitutako ahultasuna baliatuz asmo gaiztoko erabiltzaile batek bere saio paketeak bidal litzake kontrolatzailearekin bere konexio propioa sortzeko, erabiltzaile baliagarriak PLCra sar daitezen eragotziz. Horrez gain, hamar konexio daudenean, berri bat bidaltzerakoan zaharrena deskonektatu egiten da, komunikazioa etenda. Ahultasun horretarako CVE-2017-12093 identifikatzailea erabili da.
Etiketak: Eguneraketa, SCADA, Ahultasuna