Vulnerabilidade de bypass exposta em controladores Logix da Rockwell Automation
Uma falha de segurança nos controladores Logix da Rockwell Automation foi destacada. Essa vulnerabilidade de bypass de segurança, identificada como CVE-2024-6242, afeta vários modelos dentro da família Logix de controladores lógicos programáveis (PLCs) e apresenta um risco notável para sistemas de automação industrial em todo o mundo.
Especificamente, ele explora uma fraqueza no recurso Trusted Slot do chassi ControlLogix 1756, parte integrante de muitos sistemas de controle industrial.
Decodificando a vulnerabilidade de bypass de segurança da Rockwell Automation
O controlador Rockwell Automation Logix é projetado para evitar que canais de comunicação não confiáveis interajam com a unidade de processamento central (CPU) do PLC. No entanto, a falha permite que um invasor contorne essa proteção, potencialmente permitindo modificações não autorizadas em projetos de usuários e configurações de dispositivos.
A análise detalhada da Claroty , publicada em 1º de agosto de 2024, destaca o potencial de um invasor com acesso a um chassi 1756 afetado para explorar essa vulnerabilidade. A falha permite que invasores enviem comandos que podem alterar configurações ou adicionar programas não autorizados à CPU do PLC, ignorando a segurança do Trusted Slot .
A vulnerabilidade de bypass de segurança afeta vários produtos Rockwell Automation, incluindo o ControlLogix® 5580 (1756-L8z) e o GuardLogix 5580 (1756-L8zS) com versões de firmware até V28 e V31, respectivamente. Esses problemas são resolvidos nas versões de firmware V32.016, V33.015, V34.014 e V35.011 ou posteriores. O 1756-EN4TR com versão V2 também é afetado, mas corrigido na V5.001 e posteriores.
Os modelos das séries A/B/C 1756-EN2T, 1756-EN2F, 1756-EN2TR e 1756-EN3TR não têm correções e são aconselhados a atualizar para as séries D ou C. Para aqueles que não conseguem atualizar, a Rockwell Automation sugere mitigar o risco limitando os comandos CIP por meio do conjunto de chaves do modo RUN para evitar a potencial exploração da vulnerabilidade de bypass de segurança.
Detalhes técnicos e avaliação de risco
Conforme descrito no aviso CVE-2024-6242 da CISA , essa falha permite que um invasor explore o protocolo CIP para saltar entre slots de backplane locais dentro do chassi. Isso resulta em ignorar o limite de segurança pretendido e permite a comunicação com a CPU de uma placa de rede não confiável.
O CVE-2024-6242 foi classificado com uma pontuação base CVSS v3.1 de 8,4/10 e uma pontuação base CVSS v4.0 de 7,3/10. A vulnerabilidade é categorizada em CWE-420: Canal alternativo desprotegido. O vetor CVSS v3.1 inclui métricas para vetor de acesso, complexidade de ataque, privilégio necessário e outros, enquanto o vetor CVSS v4.0 inclui métricas adicionais para tipo de ataque, complexidade de versão e impacto de segurança.
A série ControlLogix 1756 da Rockwell Automation, uma plataforma robusta para automação industrial de alto desempenho, usa o protocolo CIP para comunicação. Este protocolo facilita a troca de dados entre dispositivos como sensores, atuadores e controladores dentro de uma rede. O chassi 1756 serve como um gabinete modular que abriga vários módulos de E/S e processadores de comunicação, cruciais para a interoperabilidade do dispositivo.
Estratégias de mitigação
Para abordar o CVE-2024-6242, a Rockwell Automation recomenda atualizar os produtos afetados para as versões de firmware mais recentes. Usuários com dispositivos que não podem ser atualizados devem aplicar as seguintes estratégias de mitigação:
Para mitigar o risco de exploração da recente vulnerabilidade de bypass de segurança nos controladores Logix da Rockwell Automation, é recomendável limitar os comandos CIP configurando a chave de modo para a posição RUN e minimizar a exposição da rede garantindo que os sistemas de controle não sejam acessíveis pela Internet.
Empregar firewalls para isolar redes de sistemas de controle de redes empresariais e usar Redes Privadas Virtuais (VPNs) atualizadas para acesso remoto seguro também é aconselhável. A Cybersecurity and Infrastructure Security Agency (CISA) enfatiza a importância de conduzir uma análise de impacto completa e avaliação de risco antes de implementar quaisquer medidas defensivas.
Para detecção de ameaças futuras, uma nova regra Snort foi introduzida para identificar comportamentos suspeitos de roteamento CIP que podem indicar tentativas de explorar vulnerabilidades semelhantes a CVE-2024-6242. Esta regra monitorará solicitações abertas de encaminhamento CIP anormais envolvendo redirecionamentos de chassis locais, aprimorando a capacidade de detectar e responder a ameaças potenciais.
No geral, a descoberta dessa vulnerabilidade destaca a necessidade crítica de as organizações manterem firmware atualizado e práticas de segurança robustas. Os usuários afetados devem aplicar patches ou mitigações prontamente e permanecer vigilantes ao seguir as melhores práticas de segurança cibernética para se proteger contra ameaças em evolução em sistemas de controle industrial.