Evasión de autenticación en múltiples productos de Rockwell Automation

CVE-2021-22681

Descripción

Se ha descubierto una vulnerabilidad en la autenticación de los controladores Logix que permitiría evadir la autenticación de manera remota y alterar la configuración del controlador o el código de la aplicación.

La vulnerabilidad descubierta permite, a través de una funcionalidad en Studio 5000 Logix Designer, usar una clave para verificar que los controladores Logix se estén comunicando con los productos de Rockwell afectados, y un atacante remoto no autenticado podría eludir este mecanismo de verificación y autenticarse con los controladores. La criticidad de esta vulnerabilidad es de 10 según la metodología de cálculo CVSS v3.

Recursos afectados

Están afectados los siguientes productos de software:

  • RSLogix 5000: versiones desde la 16 hasta la 20.
  • Studio 5000 Logix Designer: versiones 21 y posteriores.

Los siguientes productos Rockwell Logix Controllers:

  • CompactLogix 1768.
  • CompactLogix 1769.
  • CompactLogix 5370.
  • CompactLogix 5380.
  • CompactLogix 5480.
  • ControlLogix 5550.
  • ControlLogix 5560.
  • ControlLogix 5570.
  • ControlLogix 5580.
  • DriveLogix 5560.
  • DriveLogix 5730.
  • DriveLogix 1794-L34.
  • Compact GuardLogix 5370.
  • Compact GuardLogix 5380.
  • GuardLogix 5570.
  • GuardLogix 5580.
  • SoftLogix 5800.

Solución

Rockwell aconseja a sus clientes combinar sus recomendaciones específicas, con las pautas generales de seguridad para una estrategia integral de defensa en profundidad, en particular:

  • Guía de instalación o implementación para CIP Security;
  • Consultar las pautas de diseño de seguridad de sistemas de Rockwell Automation sobre cómo utilizar sus productos.
  • Controles de seguridad y segmentación de red adecuados, consultando la Guía de implementación y diseño de Ethernet en toda la planta convergente (CPwE) para conocer las mejores prácticas para implementar la segmentación de la red.

Rockwell recomienda a los usuarios las siguientes acciones específicas para sus productos y versiones:

ControlLogix 5580 v32 o posterior:
Ponga el interruptor de modo del controlador en modo «Ejecutar». Si no es posible, se recomiendan las siguientes mitigaciones:

  • Implemente CIP Security para las conexiones de Logix Designer a través del puerto frontal. CIP Security evita la conexión no autorizada cuando se implementa correctamente.
  • Si no usa el puerto frontal, use un módulo 1756-EN4TR ControlLogix Ethernet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.

ControlLogix 5580 v31:
Ponga el interruptor de modo del controlador en modo «Ejecutar». Si no es posible, se recomiendan las siguientes mitigaciones:

  • Aplique v32 o posterior y siga las acciones de mitigación descritas anteriormente.
  • Si no puede aplicar una versión más reciente, use un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.

ControlLogix 5570 v31 o posterior:
Ponga el interruptor de modo del controlador en modo «Ejecutar». Si no es posible, se recomiendan las siguientes mitigaciones:

  • Utilice un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.

ControlLogix 5580 v28-v30, ControlLogix 5570 v18 o posterior, ControlLogix 5560 v16 o posterior, ControlLogix 5550 v16, GuardLogix 5580 v31 o posterior, GuardLogix 5570 v20 o posterior, GuardLogix 5560 v16 o posterior, 1768 CompactLogix v16 o posterior, 1769 CompactLogix v16 o posterior, CompactLogix 5370 v20 o posterior, CompactLogix 5380 v28 o posterior, CompactLogix 5480 v32 o posterior, Compact GuardLogix 5370 v28 o posterior, Compact GuardLogix 5380 v31 o posterior, FlexLogix 1794-L34 v16, DriveLogix 5370 v16 o posterior:
Ponga el interruptor de modo del controlador en modo «Ejecutar».

  • SoftLogix 5800: No hay mitigación adicional disponible. Siga la Guía de diseño e implementación de Converged Plantwide Ethernet (CPwE).

Adicionalmente, Rockwell recomienda que los usuarios empleen los siguientes métodos para detectar cambios en la configuración de los dispositivos:

  • Supervise el registro de cambios del controlador para detectar modificaciones inesperadas o actividad anómala.
  • Si usa v17 o posterior, utilice la función de registro del controlador.
  • Si usa v20 o posterior, utilice la detección de cambios en la aplicación Logix Designer.
  • Si está disponible, use la funcionalidad en Factory Talk AssetCentre para detectar cambios.

Para solicitudes de información adicional se pueden enviar a Rockwell RASecure Inbox: rasecure@ra.rockwell.com.

CISA también recomienda:

  • Minimice la exposición de la red para todos los dispositivos, en especial desde Internet.
  • Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls, y separados de la red empresarial.
  • Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN).

Referencias

ICS Advisory (ICSA-21-056-03) Rockwell Automation Logix Controllers

Artículos relacionados

Etiqueta Seresco