Stuxnet攻击再现?罗克韦尔自动化PLC曝出严重漏洞

近日,网络安全公司Claroty Team82的研究人员在罗克韦尔自动化(Rockwell)的可编程逻辑控制器(PLC)平台中发现了两个高危漏洞,攻击者可以(远程)利用这些漏洞修改自动化流程,破坏工厂运营、对工厂造成物理损坏或采取其他恶意行为。

在本周发布的安全报告中,研究人员指出其中一个漏洞的危险性堪比Stuxnet(震网病毒),因为它们允许攻击者在PLC上运行恶意代码而不会触发任何明显的异常行为。

罗克韦尔自动化已经为其客户发布了这两个漏洞的安全公告(链接在文末)。

美国网络安全和基础设施安全局(CISA)本周四也发出安全警报,指出使用受影响组件的企业采取缓解措施和应对威胁的检测方法。CISA表示,这些漏洞影响了全球各地的关键基础设施,并指出这些漏洞的攻击复杂性低,其中一个可被远程利用。

可远程利用漏洞

其中可被远程利用的漏洞(CVE-2022-1161)的严重性等级高达10,并且广泛存在于在罗克韦尔的ControlLogix、CompactLogix和GuardLogix系列控制系统上运行的PLC固件中。据Claroty透露,这些都是罗克韦尔的主要PLC产品线。“这些设备在几乎所有垂直领域都很常见,包括汽车、食品和饮料以及石油和天然气,”Claroty指出:“我们能想到的唯一一个幸免的行业是输电和配电。”

Claroty表示,该漏洞与罗克韦尔的PLC将可执行文件(或字节码)和源代码(也称为文本代码)存储在PLC上不同位置有关。这为攻击者提供了一种在不更改源代码的情况下修改字节码的方法。

“PLC不需要两者兼容,”Claroty指出:“当工程师连接到PLC时,他们会看到运行的文本代码并无异常,而被更改的字节代码会导致恶意代码在没有任何篡改迹象的情况下运行。”

Claroty确定共有17个罗克韦尔PLC型号受到影响。

代码注入漏洞

第二个漏洞(CVE-2022-1159)存在于罗克韦尔的Studio 5000 Logix Designer中,这是工程师用来对其PLC进行编程的软件。该软件允许工程师开发、编译并将新开发的逻辑传输到可编程逻辑控制器系列中。

OT环境中的工程师通常会对PLC中的复杂逻辑进行升级,以改进、调整或修改PLC控制的任何过程。Studio 5000 Logix Designer中的漏洞允许已经在运行该软件的工作站上具有管理访问权限的攻击者劫持编译过程并注入恶意代码,然后他们可以在PLC上执行这些代码而不会触发任何警报。

“CVE-2022-1159使攻击者能够在用户不知情的情况下更改正在编译的代码,”Claroty指出:“这可能会导致工程师无法意识到传输到PLC的逻辑被篡改。”

此漏洞的严重性等级为7.7(满分10),这意味着该漏洞有着高缓解优先级,但不一定是严重漏洞。

类似Stuxnet攻击的可能性

这两个漏洞都存在于不同的罗克韦尔自动化组件中。都可以被攻击者用来改变PLC中的逻辑流程,将新命令发送到系统控制的物理设备中。例如,Claroty研究人员表示,攻击者可将某些标签(或自动化过程变量)更改为不同的值,在现实中,这意味着攻击者可以控制设备(例如发动机转速),从而对自动化过程造成重大损害。

“这是一种类似Stuxnet的攻击,它能在PLC上隐藏已执行的字节码,同时让工程师相信正常代码已被执行,”Claroty指出:“在Stuxnet的案例中,这导致离心机的旋转速度超过了预期,并导致了意想不到的结果。”

对ICS安全性的担忧绝非新鲜事。Claroty最近的一项研究发现,与2020年相比,2021年报告的ICS漏洞增加了52%。与2019年至2020年期间披露的ICS漏洞增加25%相比,这一增长要高得多。2021年ICS产品发现漏洞的82家供应商中,21家之前没有报告任何漏洞,这意味着研究人员已经开始更广泛地寻找ICS漏洞。

Claroty去年发布的一份报告显示,2021年前六个月披露的ICS漏洞中有90%的攻击复杂性较低,71%的严重等级为“高”或“严重”。超过六成(61%)可以远程执行,74%不需要任何权限即可执行。

参考链接:

https://claroty.com/2022/03/31/blog-research-hiding-code-on-rockwell-automation-plcs/

https://idp.rockwellautomation.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Drockwellautomation.custhelp.com%26RelayState%3Danswers%2Fanswer_view%2Fa_id%2F1134276

前一篇DevSecOps安全测试自动化的五个方法
后一篇部分本田车型存在漏洞,黑客可远程启动车辆