Team82, la división de investigación del especialista en seguridad de sistemas ciberfísicos (CPS) en entornos industriales, sanitarios y empresariales Claroy Rockwell Automation han revelado conjuntamente dos vulnerabilidades en los controladores lógicos programables (PLC) de Rockwell y el software de la estación de trabajo de ingeniería.
CVE-2022-1161 afecta a varias versiones de los controladores Logix de Rockwell y obtuvo la puntuación CVSS más alta de 10, mientras que CVE-2020-1159 afecta a varias versiones de la aplicación Studio 5000 Logix Designer. Las vulnerabilidades podrían permitir que el código modificado se descargue a un PLC mientras el proceso parece normal para los técnicos en sus estaciones de trabajo. Esto recuerda a los ataques de Stuxnet y Rogue7. Rockwell proporciona a los usuarios una herramienta que detecta dicho código oculto. Además, se recomienda encarecidamente a los usuarios que actualicen los productos afectados, lo que puede revelar manipulaciones.
Ataques sigilosos posibles
Los ataques sigilosos exitosos en controladores lógicos programables (PLC) se encuentran entre los ataques más raros, más lentos y costosos. Los autores de Stuxnet sentaron las bases aquí al encontrar una manera de ocultar el código de bytes malicioso que se ejecuta en un PLC, mientras que el ingeniero que programa el controlador solo ve el estado normal en su estación de trabajo. Para hacer esto, el código de bytes y el código de texto deben estar desacoplados. Por ejemplo, en el ataque Rogue7 a los PLC SIMATIC S7 de Siemens, los investigadores pudieron modificar el código de texto mientras transmitían el código de bytes malicioso al PLC.
Team82 probó la plataforma PLC de Rockwell Automation para estos ataques tipo Stuxnet. Se descubrieron dos vulnerabilidades que dejan a los controladores Logix de la empresa y la aplicación Logix Designer para estaciones de trabajo de ingeniería vulnerables a tales ataques. Los atacantes capaces de modificar discretamente la lógica del PLC podrían causar daños físicos en las fábricas, comprometiendo la seguridad de la línea de montaje y la confiabilidad del robot.
Ataque como Stuxnet exitoso
Los dos puntos débiles identificados permiten desacoplar el código de texto del código binario y transferirlo al PLC, por lo que sólo se modifica uno pero no el otro. Esto hace que el ingeniero crea que el PLC está ejecutando un código normal, cuando en realidad está ejecutando un código completamente diferente y potencialmente malicioso.
Más en Claroty.comAcerca de Claroty Claroty, la empresa de ciberseguridad industrial, ayuda a sus clientes globales a descubrir, proteger y administrar sus activos de OT, IoT e IIoT. La plataforma integral de la compañía se integra a la perfección con la infraestructura y los procesos existentes de los clientes y ofrece una amplia gama de controles de ciberseguridad industrial para transparencia, detección de amenazas, gestión de riesgos y vulnerabilidades y acceso remoto seguro, con un costo total de propiedad significativamente reducido.