Kritieke fout in Rockwell Automation-apparaten maakt ongeautoriseerde toegang mogelijk

Er is een beveiligingslek met een hoge ernst ontdekt in ControlLogix 1756-apparaten van Rockwell Automation. Dit beveiligingslek kan worden misbruikt om CIP-programmerings- en configuratieopdrachten (Common Industrial Protocol) uit te voeren.

Het gebrek waaraan de CVE-identificatie is toegewezen CVE-2024-6242heeft een CVSS v3.1-score van 8,4.

“Er is een kwetsbaarheid in de getroffen producten waardoor een kwaadwillende partij de Trusted Slot-functie in een ControlLogix-controller kan omzeilen”, aldus het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in een advies.

“Als er misbruik van wordt gemaakt op een van de getroffen modules in een 1756-chassis, kan een kwaadwillende actor mogelijk CIP-opdrachten uitvoeren waarmee gebruikersprojecten en/of de apparaatconfiguratie op een Logix-controller in het chassis worden gewijzigd.”

Claroty, een bedrijf dat zich bezighoudt met de beveiliging van operationele technologie en dat de kwetsbaarheid ontdekte en meldde, zei dat het een techniek had ontwikkeld waarmee de functie voor vertrouwde sloten kon worden omzeild en schadelijke opdrachten naar de CPU van de PLC (Programming Logic Controller) konden worden gestuurd.

Volgens beveiligingsonderzoeker Sharon Brizinov “handhaaft de vertrouwde slotfunctie het beveiligingsbeleid en kan de controller communicatie via niet-vertrouwde paden op het lokale chassis weigeren”.

“De kwetsbaarheid die we vonden, voordat deze werd opgelost, maakte het voor een aanvaller mogelijk om met behulp van CIP-routing te schakelen tussen lokale backplane-slots in een 1756-behuizing. Daarmee werd de beveiligingsgrens omzeild die bedoeld was om de CPU te beschermen tegen niet-vertrouwde kaarten.”

Voor een succesvolle exploit is netwerktoegang tot het apparaat vereist, maar een aanvaller kan misbruik maken van de fout om verhoogde opdrachten te versturen, waaronder het downloaden van willekeurige logica naar de PLC-CPU, zelfs als de aanvaller zich achter een niet-vertrouwde netwerkkaart bevindt.

Na verantwoorde openbaarmaking is de tekortkoming in de volgende versies aangepakt:

  • ControlLogix 5580 (1756-L8z) – Update naar versies V32.016, V33.015, V34.014, V35.011 en hoger.
  • GuardLogix 5580 (1756-L8zS) – Update naar versies V32.016, V33.015, V34.014, V35.011 en hoger.
  • 1756-EN4TR – Update naar versie V5.001 en later.
  • 1756-EN2T Serie D, 1756-EN2F Serie C, 1756-EN2TR Serie C, 1756-EN3TR Serie B en 1756-EN2TP Serie A – Update naar versie V12.001 en later

“Deze kwetsbaarheid kan ertoe leiden dat kritieke besturingssystemen worden blootgesteld aan ongeautoriseerde toegang via het CIP-protocol, afkomstig van niet-vertrouwde chassisslots”, aldus Brizinov.

Thijs Van der Does