Team82, a divisão de pesquisa do especialista em segurança de sistemas ciberfísicos (CPS) em ambientes industriais, de saúde e corporativos Claro, Und Rockwell Automation divulgaram conjuntamente duas vulnerabilidades em controladores lógicos programáveis Rockwell (PLCs) e software de estação de trabalho de engenharia.
O CVE-2022-1161 afeta várias versões dos controladores Logix da Rockwell e foi classificado com a pontuação CVSS mais alta de 10, enquanto o CVE-2020-1159 afeta várias versões do aplicativo Studio 5000 Logix Designer. As vulnerabilidades podem permitir que o código modificado seja baixado para um PLC enquanto o processo parece normal para os técnicos em suas estações de trabalho. Isso é uma reminiscência do Stuxnet e dos ataques Rogue7. A Rockwell fornece aos usuários uma ferramenta que detecta esse código oculto. Além disso, é altamente recomendável que os usuários atualizem os produtos afetados, o que pode revelar manipulações.
Possíveis ataques furtivos
Ataques furtivos bem-sucedidos em controladores lógicos programáveis (PLCs) estão entre os ataques mais raros, demorados e caros. Os autores do Stuxnet estabeleceram as bases aqui, encontrando uma maneira de ocultar o bytecode malicioso em execução em um PLC, enquanto o engenheiro que programa o controlador vê apenas o estado normal em sua estação de trabalho. Para fazer isso, o código de byte e o código de texto devem ser desacoplados. Por exemplo, no ataque Rogue7 aos PLCs Siemens SIMATIC S7, os pesquisadores conseguiram modificar o código textual enquanto transmitiam o bytecode malicioso para o PLC.
A Team82 testou a plataforma PLC da Rockwell Automation para esses ataques semelhantes ao Stuxnet. Foram descobertas duas vulnerabilidades que deixam os controladores Logix da empresa e o aplicativo Logix Designer para estações de trabalho de engenharia vulneráveis a esses ataques. Os invasores capazes de modificar discretamente a lógica do PLC podem causar danos físicos nas fábricas, comprometendo a segurança da linha de montagem e a confiabilidade do robô.
Ataque como o Stuxnet bem-sucedido
Os dois pontos fracos identificados permitem desacoplar o código de texto do código binário e transferi-lo para o PLC, onde apenas um, mas não o outro, é modificado. Isso faz com que o engenheiro acredite que o CLP está executando um código normal, quando na verdade está executando um código totalmente diferente e potencialmente malicioso.
Mais em Claroty.comSobre a Claroty A Claroty, a Industrial Cybersecurity Company, ajuda seus clientes globais a descobrir, proteger e gerenciar seus ativos OT, IoT e IIoT. A plataforma abrangente da empresa integra-se perfeitamente com a infraestrutura e os processos existentes dos clientes e oferece uma ampla gama de controles industriais de segurança cibernética para transparência, detecção de ameaças, gerenciamento de riscos e vulnerabilidades e acesso remoto seguro - com custo total de propriedade significativamente reduzido.