Les bogues ControlLogix de Rockwell Automation exposent les systèmes industriels aux attaques à distance

13 juil. 2023THNOT/ICS, SCADA Cybersécurité

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a alerté sur deux failles de sécurité affectant les modèles de modules de communication Rockwell Automation ControlLogix EtherNet/IP (ENIP) qui pourraient être exploitées pour réaliser l’exécution de code à distance et le déni de service (DoS).

« Les résultats et l’impact de l’exploitation de ces vulnérabilités varient en fonction de la configuration du système ControlLogix, mais ils peuvent entraîner un déni ou une perte de contrôle, un déni ou une perte de vue, un vol de données opérationnelles ou une manipulation du contrôle avec des conséquences perturbatrices ou destructrices sur le processus industriel dont le système ControlLogix est responsable », Draogos a dit.

La liste des défauts est la suivante –

• CVE-2023-3595 (Score CVSS : 9,8) – Une faille d’écriture hors limites affectant les produits 1756 EN2* et 1756 EN3* qui pourrait entraîner l’exécution de code arbitraire avec persistance sur le système cible via des messages de protocole industriel commun (CIP) conçus de manière malveillante.
• CVE-2023-3596 (Score CVSS : 7,5) – Une faille d’écriture hors limites affectant 1756 produits EN4* qui pourrait conduire à une condition DoS via des messages CIP construits de manière malveillante.

« L’exploitation réussie de ces vulnérabilités pourrait permettre à des acteurs malveillants d’accéder à distance à la mémoire en cours d’exécution du module et d’effectuer des activités malveillantes », CISA a dit.

Pire encore, les défauts pourraient être abusés pour écraser potentiellement n’importe quelle partie du système afin de voler sous le radar et de rester persistant, sans parler de rendre le module indigne de confiance.

Les appareils concernés incluent 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2FK, 17 56-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK et 1756-EN4TRXT. Des correctifs ont été mis à disposition par Rockwell Automation pour résoudre les problèmes.

« Le type d’accès fourni par CVE-2023-3595 est similaire au zero-day utilisé par XENOTIME dans le Attaque TRISIS« , a déclaré la société de cybersécurité industrielle. « Les deux permettent une manipulation arbitraire de la mémoire du micrologiciel, bien que CVE-2023-3595 cible un module de communication responsable de la gestion des commandes réseau. Cependant, leur impact est le même. »

TRISIS, également connu sous le nom de TRITON, est un logiciel malveillant de systèmes de contrôle industriel (ICS) qui a été précédemment observé ciblant les contrôleurs de système instrumenté de sécurité (SIS) Triconex de Schneider Electric utilisés dans les installations pétrolières et gazières. Une usine pétrochimique en Arabie saoudite a été découverte comme victime fin 2017, selon Dragos et Mandiant.

Dragos a averti qu’il avait découvert une « capacité d’exploitation inédite tirant parti de ces vulnérabilités » qui sont associées à un groupe d’États-nations identifié et qu’à la mi-juillet 2023, « il n’y avait aucune preuve d’exploitation dans la nature et les organisations de victimes ciblées et les secteurs verticaux de l’industrie étaient inconnus. »

« En plus de la compromission du module vulnérable lui-même, la vulnérabilité pourrait également permettre à un attaquant d’affecter le processus industriel ainsi que l’infrastructure critique sous-jacente, ce qui peut entraîner une perturbation ou une destruction possible », a déclaré Satnam Narang, chercheur chez Tenable. a dit de CVE-2023-3595.