CVE-2021-22681
Descripción
Se ha descubierto una vulnerabilidad en la autenticación de los controladores Logix que permitiría evadir la autenticación de manera remota y alterar la configuración del controlador o el código de la aplicación.
La vulnerabilidad descubierta permite, a través de una funcionalidad en Studio 5000 Logix Designer, usar una clave para verificar que los controladores Logix se estén comunicando con los productos de Rockwell afectados, y un atacante remoto no autenticado podría eludir este mecanismo de verificación y autenticarse con los controladores. La criticidad de esta vulnerabilidad es de 10 según la metodología de cálculo CVSS v3.
Recursos afectados
Están afectados los siguientes productos de software:
- RSLogix 5000: versiones desde la 16 hasta la 20.
- Studio 5000 Logix Designer: versiones 21 y posteriores.
Los siguientes productos Rockwell Logix Controllers:
- CompactLogix 1768.
- CompactLogix 1769.
- CompactLogix 5370.
- CompactLogix 5380.
- CompactLogix 5480.
- ControlLogix 5550.
- ControlLogix 5560.
- ControlLogix 5570.
- ControlLogix 5580.
- DriveLogix 5560.
- DriveLogix 5730.
- DriveLogix 1794-L34.
- Compact GuardLogix 5370.
- Compact GuardLogix 5380.
- GuardLogix 5570.
- GuardLogix 5580.
- SoftLogix 5800.
Solución
Rockwell aconseja a sus clientes combinar sus recomendaciones específicas, con las pautas generales de seguridad para una estrategia integral de defensa en profundidad, en particular:
- Guía de instalación o implementación para CIP Security;
- Consultar las pautas de diseño de seguridad de sistemas de Rockwell Automation sobre cómo utilizar sus productos.
- Controles de seguridad y segmentación de red adecuados, consultando la Guía de implementación y diseño de Ethernet en toda la planta convergente (CPwE) para conocer las mejores prácticas para implementar la segmentación de la red.
Rockwell recomienda a los usuarios las siguientes acciones específicas para sus productos y versiones:
ControlLogix 5580 v32 o posterior:
Ponga el interruptor de modo del controlador en modo «Ejecutar». Si no es posible, se recomiendan las siguientes mitigaciones:
- Implemente CIP Security para las conexiones de Logix Designer a través del puerto frontal. CIP Security evita la conexión no autorizada cuando se implementa correctamente.
- Si no usa el puerto frontal, use un módulo 1756-EN4TR ControlLogix Ethernet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
ControlLogix 5580 v31:
Ponga el interruptor de modo del controlador en modo «Ejecutar». Si no es posible, se recomiendan las siguientes mitigaciones:
- Aplique v32 o posterior y siga las acciones de mitigación descritas anteriormente.
- Si no puede aplicar una versión más reciente, use un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
ControlLogix 5570 v31 o posterior:
Ponga el interruptor de modo del controlador en modo «Ejecutar». Si no es posible, se recomiendan las siguientes mitigaciones:
- Utilice un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
ControlLogix 5580 v28-v30, ControlLogix 5570 v18 o posterior, ControlLogix 5560 v16 o posterior, ControlLogix 5550 v16, GuardLogix 5580 v31 o posterior, GuardLogix 5570 v20 o posterior, GuardLogix 5560 v16 o posterior, 1768 CompactLogix v16 o posterior, 1769 CompactLogix v16 o posterior, CompactLogix 5370 v20 o posterior, CompactLogix 5380 v28 o posterior, CompactLogix 5480 v32 o posterior, Compact GuardLogix 5370 v28 o posterior, Compact GuardLogix 5380 v31 o posterior, FlexLogix 1794-L34 v16, DriveLogix 5370 v16 o posterior:
Ponga el interruptor de modo del controlador en modo «Ejecutar».
- SoftLogix 5800: No hay mitigación adicional disponible. Siga la Guía de diseño e implementación de Converged Plantwide Ethernet (CPwE).
Adicionalmente, Rockwell recomienda que los usuarios empleen los siguientes métodos para detectar cambios en la configuración de los dispositivos:
- Supervise el registro de cambios del controlador para detectar modificaciones inesperadas o actividad anómala.
- Si usa v17 o posterior, utilice la función de registro del controlador.
- Si usa v20 o posterior, utilice la detección de cambios en la aplicación Logix Designer.
- Si está disponible, use la funcionalidad en Factory Talk AssetCentre para detectar cambios.
Para solicitudes de información adicional se pueden enviar a Rockwell RASecure Inbox: rasecure@ra.rockwell.com.
CISA también recomienda:
- Minimice la exposición de la red para todos los dispositivos, en especial desde Internet.
- Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls, y separados de la red empresarial.
- Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN).
