cve cve - 2023 - 3595 - 2023 - 3596:罗克韦尔自动化ControlLogix漏洞的披露
罗克韦尔自动化问题咨询多个漏洞,包括关键缺陷可能导致中断或关键基础设施破坏的过程。
7月12日更新:确定影响系统部分已经更新,包括一个新发布的站得住脚的OT安全插件以及对这些漏洞更新我们现有的插件。
背景
7月12日,罗克韦尔自动化发布一个顾问为多个漏洞的艾伦-布拉德利ControlLogix通信模块。ControlLogix通信模块是用在许多行业和领域,包括能源、交通和水,其中,使机器之间的通信、IT系统和远程底盘。
CVE | 描述 | CVSSv3 | 严重程度 |
---|---|---|---|
cve - 2023 - 3595 | 罗克韦尔自动化艾伦-布拉德利ControlLogix通信模块远程代码执行漏洞 | 9.8 | 至关重要的 |
cve - 2023 - 3596 | 罗克韦尔自动化艾伦-布拉德利ControlLogix通信模块拒绝服务漏洞 | 7.5 | 高 |
重要的是要注意这些模块可以实现多个逻辑(物理)配置。1756年ControlLogix底盘可以有多达17模块安装在一个本地底盘。通常有多个网络接口(物理网卡)配置为桥和/或部分网络在工业环境中。
分析
cve - 2023 - 3595是一个远程代码执行漏洞(远端控制设备)在罗克韦尔自动化艾伦-布拉德利ControlLogix通信模块1756 EN2 *和1756 EN3 *产品的家庭。攻击者可以利用此漏洞获得远端控制设备在一个脆弱的模块通过发送精雕细琢通用工业协议(CIP)消息。这种风险的剥削是放大从互联网上如果不分段模块。成功的开发可以使攻击者能够妥协一个脆弱的记忆模块,使攻击者:
- 控制模块的固件
- 添加新的功能模块
- 擦的内存模块
- 打造一个模块之间的交通
- 获得持久模块
除了妥协模块本身的脆弱,脆弱也可能允许攻击者影响工业过程以及潜在的关键基础设施,这可能导致可能的干扰或破坏。
cve - 2023 - 3596是一种拒绝服务(DoS)脆弱性在罗克韦尔自动化艾伦-布拉德利ControlLogix通信模块1756 EN4 *产品家族。攻击者可以利用此漏洞导致一个DoS条件在目标系统上通过发送精雕细琢CIP消息到脆弱的设备。
在这篇文章发表的时候,没有任何证据表明积极开发涉及的脆弱性。
解决方案
罗克韦尔自动化发布了固定的某些版本的固件版本ControlLogix模块:
ControlLogix目录 |
系列 |
影响版本 |
固定的版本 |
---|---|---|---|
1756 - en2t |
A, B, C |
< = 5.008 & 5.028 |
5.029签署版本(推荐) |
D |
11.003和更低的 |
11.004及以后 |
|
1756 - en2tp |
一个 |
11.003和更低的 |
11.004及以后 |
1756 - en2tr |
A、B |
< = 5.008 & 5.028 |
5.029签署版本(推荐) |
C |
11.003和更低的 |
11.004及以后 |
|
1756 - en2f |
A、B |
< = 5.008 & 5.028 |
5.029签署版本(推荐) |
C |
11.003和更低的 |
11.004及以后 |
|
1756 - en3tr |
一个 |
< = 5.008 & 5.028 |
5.029签署版本(推荐) |
B |
< = 11.003 |
更新11.004或更高版本 |
|
1756 - en4tr |
一个 |
< = 5.001 |
更新到5.002,后来 |
的一些最佳实践包括适当的细分控制网络和利用入侵检测系统(IDS)签名来帮助识别“反常通用工业协议(CIP)”交通脆弱的设备。
确定影响系统
确定影响系统,站得住脚的发布了以下插件可以站得住脚的不安全(原名Tenable.ot),站得住脚的脆弱性管理(原名Tenable.io),成立安全中心(原Tenable.sc)和站得住脚的Nessus:
插件ID | 标题 | 严重程度 | 家庭 |
---|---|---|---|
177893年 | 罗克韦尔自动化ControlLogix通信模块多个漏洞 | 至关重要的 | SCADA |
501226年 | 罗克韦尔自动化ControlLogix通信模块远程代码执行(cve - 2023 - 3595) | 至关重要的 | 站得住脚的不安全 |
501228年 | 罗克韦尔自动化ControlLogix通信模块拒绝服务(cve - 2023 - 3596) | 高 | 站得住脚的不安全 |
紧迫性,站得住脚的客户可以利用SCADA插件扫描脆弱的设备使用站得住脚的脆弱性管理,成立安全中心和Nessus成立。然而,对于更大的可见性对于影响你的网络,我们强烈建议客户使用的安全插件。有关使用站得住脚的不安全的更多信息来识别脆弱的资产,请查看博客文章发现罗克韦尔自动化艾伦-布拉德利通信模块受到cve - 2023 - 3595,在OT环境中cve - 2023 - 3596。
除了这些插件,站得住脚的研究建议客户使用以下id事件规则id (SIDs)成立不安全检测潜在的破坏通信适配器:
SID | 消息 |
---|---|
1992000 | PROTOCOL-SCADA ENIP CIP套接字对象无关的读与不寻常的长度检测。 |
1992001 | PROTOCOL-SCADA ENIP CIP无关的套接字对象ucmm读与不寻常的长度检测。 |
1992002 | PROTOCOL-SCADA ENIP CIP套接字对象连接读与不寻常的长度检测。 |
1992003 | PROTOCOL-SCADA ENIP CIP套接字对象连接ucmm读与不寻常的长度检测。 |
1992004 | PROTOCOL-SCADA ENIP CIP供应商特定对象无关的参数1包含不同寻常的长度。 |
1992005 | PROTOCOL-SCADA ENIP CIP供应商特定对象无关的参数2包含不同寻常的长度。 |
1992006 | PROTOCOL-SCADA ENIP CIP供应商特定对象独立ucmm参数1包含不同寻常的长度。 |
1992007 | PROTOCOL-SCADA ENIP CIP供应商特定对象独立ucmm参数2与不寻常的长度。 |
1992008 | PROTOCOL-SCADA ENIP CIP供应商特定对象连接参数1包含不同寻常的长度。 |
1992009 | PROTOCOL-SCADA ENIP CIP供应商特定对象连接参数2与不寻常的长度。 |
1992010 | PROTOCOL-SCADA ENIP CIP供应商特定对象连接ucmm参数1包含不同寻常的长度。 |
1992011 | PROTOCOL-SCADA ENIP CIP供应商特定对象连接ucmm参数2包含不同寻常的长度。 |
更多信息关于如何利用这些SIDs站得住脚的不安全,请参考知识库文章后。
我们将会更新这个博客当/如果额外覆盖可用。
获得更多的信息
- 站得住脚的博客:发现罗克韦尔自动化艾伦-布拉德利通信模块受到cve - 2023 - 3595和cve - 2023 - 3596年的环境
- 罗克韦尔咨询cve - 2023 - 3595和cve - 2023 - 3596
- 使用SIDs的站得住脚的知识库文章
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于开云app安装不了怎么办 现代风险管理平台的攻击表面。
更改日志
7月12日更新:确定影响系统部分已经更新,包括一个新发布的站得住脚的OT安全插件以及对这些漏洞更新我们现有的插件。
相关文章
- 风险管理
- 风险管理