Team82, la divisione di ricerca dello specialista nella sicurezza dei sistemi cyber-fisici (CPS) in ambito industriale, sanitario e aziendale ChiaroE Rockwell Automation hanno rivelato congiuntamente due vulnerabilità nei controllori logici programmabili (PLC) Rockwell e nel software per workstation ingegneristiche.
CVE-2022-1161 interessa più versioni dei controllori Logix di Rockwell ed è stato valutato con il punteggio CVSS più alto di 10, mentre CVE-2020-1159 interessa più versioni dell'applicazione Studio 5000 Logix Designer. Le vulnerabilità potrebbero consentire il download di codice modificato su un PLC mentre il processo appare normale ai tecnici nelle loro postazioni di lavoro. Questo ricorda Stuxnet e gli attacchi di Rogue7. Rockwell fornisce agli utenti uno strumento che rileva tale codice nascosto. Inoltre, si consiglia vivamente agli utenti di aggiornare i prodotti interessati, che possono rivelare manipolazioni.
Possibili attacchi furtivi
Gli attacchi furtivi riusciti ai controllori logici programmabili (PLC) sono tra gli attacchi più rari, lunghi e costosi. Gli autori di Stuxnet hanno gettato le basi trovando un modo per nascondere il bytecode dannoso in esecuzione su un PLC, mentre l'ingegnere che programma il controller vede solo lo stato normale sulla sua workstation. Per fare ciò, il codice byte e il codice testo devono essere disaccoppiati. Ad esempio, nell'attacco Rogue7 ai PLC Siemens SIMATIC S7, i ricercatori sono stati in grado di modificare il codice testuale mentre trasmettevano il bytecode dannoso al PLC.
Team82 ha testato la piattaforma PLC di Rockwell Automation per questi attacchi simili a Stuxnet. Sono state scoperte due vulnerabilità che lasciano i controllori Logix dell'azienda e l'applicazione Logix Designer per le workstation ingegneristiche vulnerabili a tali attacchi. Gli aggressori in grado di modificare in modo discreto la logica del PLC potrebbero causare danni fisici nelle fabbriche, compromettendo la sicurezza della catena di montaggio e l'affidabilità dei robot.
Attacco come Stuxnet riuscito
I due punti deboli individuati consentono di disaccoppiare il codice testo dal codice binario e trasferirlo al PLC, per cui solo uno ma non l'altro viene modificato. Ciò fa credere al tecnico che il PLC stia eseguendo un codice normale, quando in realtà sta eseguendo un codice completamente diverso e potenzialmente dannoso.
Altro su Claroty.comA proposito di Claroty Claroty, la società di sicurezza informatica industriale, aiuta i suoi clienti globali a scoprire, proteggere e gestire le proprie risorse OT, IoT e IIoT. La piattaforma completa dell'azienda si integra perfettamente con l'infrastruttura e i processi esistenti dei clienti e offre un'ampia gamma di controlli di sicurezza informatica industriale per la trasparenza, il rilevamento delle minacce, la gestione dei rischi e delle vulnerabilità e l'accesso remoto sicuro, con un costo totale di proprietà notevolmente ridotto.