Onderzoekers op het gebied van cyberbeveiliging hebben twee kritieke beveiligingsfouten onthuld die van invloed zijn Rode Leeuw Sixnet Remote Terminal Unit (RTU)-producten die, als ze succesvol worden uitgebuit, kunnen resulteren in code-uitvoering met de hoogste privileges.
De tekortkomingen, bijgehouden als CVE-2023-40151 En CVE-2023-42770krijgen beide een beoordeling van 10,0 op het CVSS-scoresysteem.
“De kwetsbaarheden treffen Red Lion SixTRAK en VersaTRAK RTU’s en stellen een niet-geverifieerde aanvaller in staat opdrachten uit te voeren met rootrechten”, aldus Claroty Team 82-onderzoekers in een dinsdag gepubliceerd rapport.
De Sixnet RTU’s van Red Lion bieden geavanceerde automatiserings-, controle- en data-acquisitiemogelijkheden in industriële automatiserings- en controlesystemen, voornamelijk in de sectoren energie, water en afvalwaterzuivering, transport, nutsvoorzieningen en productie.
Deze industriële apparaten worden geconfigureerd met behulp van een Windows-hulpprogramma genaamd Sixnet IO Tool Kit, met een eigen Sixnet “Universal” protocol dat wordt gebruikt om de communicatie tussen de kit en de RTU’s te communiceren en mogelijk te maken.
Er bestaat ook een gebruikersmachtigingssysteem bovenop dit mechanisme ter ondersteuning van onder meer bestandsbeheer, het instellen/ophalen van stationinformatie, het verkrijgen van de Linux-kernel en de opstartversie via het UDP-protocol.
De twee kwetsbaarheden die door Claroty zijn geïdentificeerd, worden hieronder vermeld:
- CVE-2023-42770 – Een authenticatie-bypass die ontstaat doordat de Sixnet RTU-software naar dezelfde poort (nummer 1594) in UDP en TCP luistert en alleen om een authenticatie-uitdaging via UDP vraagt, terwijl het binnenkomende bericht via TCP wordt geaccepteerd zonder om enige authenticatie te vragen
- CVE-2023-40151 – Een kwetsbaarheid voor het uitvoeren van externe code die gebruikmaakt van de ingebouwde ondersteuning van Sixnet Universal Driver (UDR) voor het uitvoeren van Linux-shell-opdrachten om willekeurige code met root-rechten uit te voeren
Als gevolg hiervan kan een aanvaller beide tekortkomingen aan elkaar koppelen om authenticatiebeveiligingen te omzeilen, opdrachten uit te voeren en code op afstand uit te voeren.
“Red Lion SixTRAK- en VersaTRAK-serie RTU’s met geverifieerde gebruikers ingeschakeld (UDR-A), elk Sixnet UDR-bericht ontvangen via TCP/IP, de RTU zal het bericht accepteren zonder authenticatie-uitdaging”, zei Red Lion in een advies uitgebracht in juni 2025. “Als gebruikersauthenticatie niet is ingeschakeld, kan de shell opdrachten uitvoeren met de hoogste rechten.”
Gebruikers wordt geadviseerd de patches voor de twee kwetsbaarheden zo snel mogelijk aan te brengen. Het wordt ook aanbevolen om gebruikersauthenticatie in de Red Lion RTU in te schakelen en de toegang via TCP tot de betrokken RTU’s te blokkeren.
Volgens een waarschuwing van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in november 2023 hebben de tekortkomingen invloed op de volgende producten:
- ST-IPm-8460: Firmware 6.0.202 en hoger
- ST-IPm-6350: Firmwareversie 4.9.114 en hoger
- VT-mIPm-135-D: Firmwareversie 4.9.114 en hoger
- VT-mIPm-245-D: Firmwareversie 4.9.114 en hoger
- VT-IPm2m-213-D: Firmwareversie 4.9.114 en hoger
- VT-IPm2m-113-D: Firmwareversie 4.9.114 en hoger
“De RTU’s van Red Lion zijn prominent aanwezig in veel industriële automatiseringsomgevingen, en een aanvaller met toegang tot de apparaten en de mogelijkheid om commando’s in de root uit te voeren, biedt aanzienlijke mogelijkheden voor procesverstoring of -schade”, aldus Claroty.
