Team82, дослідницький підрозділ фахівця з безпеки кіберфізичних систем (CPS) у промисловому, медичному та корпоративному середовищах Ясність, Und Rockwell Automation спільно розкрили дві вразливості в програмованих логічних контролерах Rockwell (PLC) і програмному забезпеченні інженерних робочих станцій.
CVE-2022-1161 впливає на кілька версій контролерів Rockwell Logix і отримав найвищу оцінку CVSS 10, а CVE-2020-1159 впливає на кілька версій програми Studio 5000 Logix Designer. Уразливості можуть дозволити завантажувати модифікований код на ПЛК, тоді як технікам на робочих станціях процес здається нормальним. Це нагадує атаки Stuxnet і Rogue7. Rockwell надає користувачам інструмент, який виявляє такий прихований код. Крім того, користувачам настійно рекомендується оновити продукти, які піддаються впливу, в яких можуть виявитися маніпуляції.
Можливі стелс-атаки
Успішні стелс-атаки на програмовані логічні контролери (PLC) є одними з найрідкісніших, найбільш трудомістких і дорогих атак. Автори Stuxnet заклали тут основу, знайшовши спосіб приховати шкідливий байт-код, що працює на ПЛК, тоді як інженер, який програмує контролер, бачить лише нормальний стан на своїй робочій станції. Для цього необхідно розділити байт-код і текстовий код. Наприклад, під час атаки Rogue7 на ПЛК Siemens SIMATIC S7 дослідники змогли змінити текстовий код, одночасно передаючи шкідливий байт-код на ПЛК.
Команда Team82 перевірила платформу ПЛК Rockwell Automation на ці атаки, схожі на Stuxnet. Було виявлено дві вразливості, які роблять контролери компанії Logix і програму Logix Designer для інженерних робочих станцій уразливими до таких атак. Зловмисники, здатні непомітно змінити логіку ПЛК, можуть завдати фізичної шкоди заводам, поставивши під загрозу безпеку конвеєра та надійність робота.
Атака як Stuxnet успішна
Виявлені два слабкі місця дозволяють відокремити текстовий код від двійкового коду та передати його в ПЛК, за допомогою чого змінюється лише одне, але не інше. Це змушує інженера вважати, що ПЛК виконує звичайний код, хоча насправді він виконує зовсім інший, потенційно шкідливий код.
Більше на Claroty.comПро Клароті Claroty, компанія промислової кібербезпеки, допомагає своїм глобальним клієнтам виявляти, захищати та керувати своїми активами OT, IoT та IIoT. Комплексна платформа компанії бездоганно інтегрується з існуючою інфраструктурою та процесами клієнтів і пропонує широкий спектр засобів контролю промислової кібербезпеки для прозорості, виявлення загроз, управління ризиками та вразливістю та безпечного віддаленого доступу – зі значно зниженою загальною вартістю володіння.