Ngày 13 tháng 7 năm 2023THNOT/ICS, An ninh mạng SCADA
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã cảnh báo về hai lỗ hổng bảo mật ảnh hưởng đến các mô-đun giao tiếp Rockwell Automation ControlLogix EtherNet/IP (ENIP) có thể bị khai thác để thực thi mã từ xa và tấn công từ chối dịch vụ (DoS).
“Kết quả và tác động của việc khai thác các lỗ hổng này khác nhau tùy thuộc vào cấu hình hệ thống ControlLogix, nhưng chúng có thể dẫn đến việc từ chối hoặc mất quyền kiểm soát, từ chối hoặc mất khả năng hiển thị, đánh cắp dữ liệu vận hành hoặc thao túng quyền kiểm soát để gây ra các hậu quả gây gián đoạn hoặc phá hoại trên quy trình công nghiệp mà hệ thống ControlLogix chịu trách nhiệm,” Draogos nói.
Danh sách các sai sót như sau –
CVE-2023-3595 (Điểm CVSS: 9,8) – Một lỗ hổng ghi ngoài giới hạn ảnh hưởng đến các sản phẩm 1756 EN2* và 1756 EN3*. Lỗ hổng này có thể dẫn đến việc thực thi mã tùy ý một cách dai dẳng trên hệ thống đích thông qua các thông báo giao thức công nghiệp chung (CIP) được tạo thủ công một cách độc hại.
CVE-2023-3596 (Điểm CVSS: 7,5) – Một lỗ hổng ghi ngoài giới hạn ảnh hưởng đến 1756 sản phẩm EN4* có thể dẫn đến tình trạng DoS thông qua các thông báo CIP được tạo một cách độc hại.
CISA cho biết: “Việc khai thác thành công các lỗ hổng này có thể cho phép các tác nhân độc hại có quyền truy cập từ xa vào bộ nhớ đang chạy của mô-đun và thực hiện hoạt động độc hại”.
Tệ hơn nữa, các lỗ hổng có thể bị lạm dụng để có khả năng ghi đè lên bất kỳ phần nào của hệ thống nhằm hoạt động dưới tầm kiểm soát của radar và tồn tại dai dẳng, chưa kể đến việc khiến mô-đun trở nên không đáng tin cậy.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Lá chắn chống lại các mối đe dọa nội bộ: Quản lý tư thế bảo mật saas Master
Lo lắng về các mối đe dọa nội bộ? Chúng tôi đã có bạn bảo hiểm! Tham gia hội thảo trực tuyến này để khám phá các chiến lược thực tế và bí mật của bảo mật chủ động với Quản lý tư thế bảo mật SaaS.
tham gia ngay hôm nay
Các thiết bị bị ảnh hưởng bao gồm 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2FK, 1756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK và 1756-EN4TRXT. Các bản vá đã được Rockwell Automation cung cấp để giải quyết các vấn đề.
“Loại truy cập được cung cấp bởi CVE-2023-3595 tương tự như zero-day được sử dụng bởi XENOTIME trong cuộc tấn công TRISIS,” công ty an ninh mạng công nghiệp cho biết. “Cả hai đều cho phép thao tác bộ nhớ phần sụn tùy ý, mặc dù CVE-2023-3595 nhắm đến một mô-đun giao tiếp chịu trách nhiệm xử lý các lệnh mạng. Tuy nhiên, tác động của chúng là như nhau.”
TRISIS, còn được gọi là TRITON, là phần mềm độc hại của hệ thống điều khiển công nghiệp (ICS) đã được phát hiện trước đây nhắm mục tiêu vào bộ điều khiển hệ thống thiết bị an toàn Triconex (SIS) của Schneider Electric được sử dụng trong các cơ sở dầu khí. Theo Dragos và Mandiant, một nhà máy hóa dầu ở Ả Rập Saudi đã được phát hiện là nạn nhân vào cuối năm 2017.
Dragos cảnh báo rằng họ đã phát hiện ra một “khả năng khai thác chưa được phát hành tận dụng các lỗ hổng này” có liên quan đến một nhóm quốc gia được xác định và vào giữa tháng 7 năm 2023, “không có bằng chứng khai thác trong tự nhiên và các tổ chức nạn nhân được nhắm mục tiêu và ngành dọc không rõ.”
Nhà nghiên cứu Satnam Narang của Tenable nói về CVE-2023: “Ngoài sự xâm phạm của chính mô-đun dễ bị tấn công, lỗ hổng cũng có thể cho phép kẻ tấn công ảnh hưởng đến quy trình công nghiệp cùng với cơ sở hạ tầng quan trọng cơ bản, điều này có thể dẫn đến sự gián đoạn hoặc phá hủy có thể xảy ra”. -3595.
