WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Lỗ hổng trong khóa mã hóa cứng của Logix PLCs có điểm CVSS 10/10
Phần cứng được sử dụng rộng rãi để kiểm soát thiết bị trong các nhà máy và các cơ sở công nghiệp khác có thể bị điều khiển từ xa bằng cách khai thác một lỗ hổng mới được tiết lộ, mức độ nghiêm trọng được đánh giá 10/10.
Lỗ hổng được tìm thấy trong bộ điều khiển logic lập trình (PLC) của Rockwell Automation được bán trên thị trường dưới tên của thương hiệu Logix. Những thiết bị này có nhiều kích thước khác nhau, giúp kiểm soát thiết bị và các quy trình trên dây chuyền sản xuất và trong môi trường sản xuất khác. Các kỹ sư lập trình PLC bằng phần mềm của Rockwell có tên Studio 5000 Logix Designer.
Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) của Mỹ vừa cảnh báo về lỗ hổng cho phép tin tặc kết nối từ xa đến các bộ điều khiển Logix và từ đó thay đổi được cấu hình hoặc mã ứng dụng mà không cần phải có trình độ cao.
Lỗ hổng được đánh số CVE-2021-22681, tạo cơ hội cho tin tặc trích xuất khóa mã hóa bí mật. Khóa này đã được mã hóa cứng trong cả bộ điều khiển Logix và các trạm kỹ thuật, xác minh thông tin giao tiếp giữa hai thiết bị. Có được khóa này, tin tặc có thể giả lập một trạm kỹ thuật và thao túng mã hoặc cấu hình PLC để tác động trực tiếp đến quá trình sản xuất.
Theo chuyên gia Sharon Brizinov của Claroty - đơn vị phát hiện lỗ hổng cho biết: “Bất kỳ bộ điều khiển nào của Rockwell Logix bị ảnh hưởng mà có kết nối Internet đều có khả năng dính lỗ hổng và bị khai thác”
Lỗ hổng ảnh hưởng đến toàn bộ các sản phẩm đang bán trên thị trường của Rockwell, gồm có:
Rockwell và CISA cũng khuyến cáo người dùng PLC thực hiện chỉ dẫn chuyên sâu về bảo mật tiêu chuẩn. Khuyến cáo quan trọng nhất là đảm bảo các thiết bị kiểm soát hệ thống không thể truy cập từ Internet.
Các chuyên gia bảo mật thường khuyên các kỹ sư đặt các hệ thống công nghiệp quan trọng phía sau tường lửa để không bị lộ ra ngoài Internet. Không may là, các kỹ sư lại gặp khó khăn với khối lượng công việc cao và ngân sách hạn chế, nên không để ý đến lời khuyên này. Lần nhắc nhở mới nhất về việc này là vào đầu tháng hai khi một nhà máy xử lý nước tại Floria bị đột nhập. Tin tặc đã truy cập vào hệ thống từ xa và cố gắng pha nước uống bằng dung dịch kiềm. Các nhân viên nhà máy đã sử dụng cùng mật khẩu TeamViewer và không đặt hệ thống nằm sau tường lửa.
Lỗ hổng được tìm thấy trong bộ điều khiển logic lập trình (PLC) của Rockwell Automation được bán trên thị trường dưới tên của thương hiệu Logix. Những thiết bị này có nhiều kích thước khác nhau, giúp kiểm soát thiết bị và các quy trình trên dây chuyền sản xuất và trong môi trường sản xuất khác. Các kỹ sư lập trình PLC bằng phần mềm của Rockwell có tên Studio 5000 Logix Designer.
Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) của Mỹ vừa cảnh báo về lỗ hổng cho phép tin tặc kết nối từ xa đến các bộ điều khiển Logix và từ đó thay đổi được cấu hình hoặc mã ứng dụng mà không cần phải có trình độ cao.
Lỗ hổng được đánh số CVE-2021-22681, tạo cơ hội cho tin tặc trích xuất khóa mã hóa bí mật. Khóa này đã được mã hóa cứng trong cả bộ điều khiển Logix và các trạm kỹ thuật, xác minh thông tin giao tiếp giữa hai thiết bị. Có được khóa này, tin tặc có thể giả lập một trạm kỹ thuật và thao túng mã hoặc cấu hình PLC để tác động trực tiếp đến quá trình sản xuất.
Theo chuyên gia Sharon Brizinov của Claroty - đơn vị phát hiện lỗ hổng cho biết: “Bất kỳ bộ điều khiển nào của Rockwell Logix bị ảnh hưởng mà có kết nối Internet đều có khả năng dính lỗ hổng và bị khai thác”
Lỗ hổng ảnh hưởng đến toàn bộ các sản phẩm đang bán trên thị trường của Rockwell, gồm có:
- CompactLogix 1768
- CompactLogix 1769
- CompactLogix 5370
- CompactLogix 5380
- CompactLogix 5480
- ControlLogix 5550
- ControlLogix 5560
- ControlLogix 5570
- ControlLogix 5580
- DriveLogix 5560
- DriveLogix 5730
- DriveLogix 1794-L34
- Compact GuardLogix 5370
- Compact GuardLogix 5380
- GuardLogix 5570
- GuardLogix 5580
- SoftLogix 5800
Rockwell và CISA cũng khuyến cáo người dùng PLC thực hiện chỉ dẫn chuyên sâu về bảo mật tiêu chuẩn. Khuyến cáo quan trọng nhất là đảm bảo các thiết bị kiểm soát hệ thống không thể truy cập từ Internet.
Các chuyên gia bảo mật thường khuyên các kỹ sư đặt các hệ thống công nghiệp quan trọng phía sau tường lửa để không bị lộ ra ngoài Internet. Không may là, các kỹ sư lại gặp khó khăn với khối lượng công việc cao và ngân sách hạn chế, nên không để ý đến lời khuyên này. Lần nhắc nhở mới nhất về việc này là vào đầu tháng hai khi một nhà máy xử lý nước tại Floria bị đột nhập. Tin tặc đã truy cập vào hệ thống từ xa và cố gắng pha nước uống bằng dung dịch kiềm. Các nhân viên nhà máy đã sử dụng cùng mật khẩu TeamViewer và không đặt hệ thống nằm sau tường lửa.
Theo Arstechnia