发现罗克韦尔自动化艾伦-布拉德利通信模块受到cve - 2023 - 3595和cve - 2023 - 3596年的环境

在工业环境中识别脆弱的系统可能很复杂。使用错误的工具,它将忽略影响设备。找出站得住脚的不安全是设计给你深入资产可见性来解决这些新的漏洞在不影响生产力。

罗克韦尔自动化,配合美国政府今天宣布两个关键漏洞,需要立即关注,以一种新颖的利用能力归功于先进的持续威胁(APT)演员出名cyberactivity涉及工业系统和建议可能的意图全球目标关键基础设施。这些漏洞是:

• cve - 2023 - 3595远程代码执行(远端控制设备)脆弱性在罗克韦尔自动化艾伦-布拉德利ControlLogix通信模块1756 EN2 *和1756 EN3 *产品的家庭。攻击者可以利用此漏洞获得远端控制设备在一个脆弱的模块通过发送精雕细琢通用工业协议(CIP)消息。

• cve - 2023 - 3596拒绝服务(DoS)脆弱性,罗克韦尔自动化艾伦-布拉德利ControlLogix通信模块1756 EN4 *产品家族。攻击者可以利用此漏洞导致一个DoS条件在目标系统上通过发送精雕细琢CIP消息到脆弱的设备。

迅速帮助组织解决这些漏洞,站得住脚的发布了多个插件检测cve - 2023 - 3595和cve - 2023 - 3596。你可以阅读更多关于这些这篇博客成立研究小组。这些插件可供用户站得住脚的Nessus和站得住脚的不安全(原名Tenable.ot),但有几个关键的差异如何运作。理解这些差异,我们首先必须考虑两个关键医治这些漏洞的系统,组织面临的挑战:

1. 如何快速检测方便网络资产;和
2. 如何发现间接连接(嵌套)的资产在工业控制系统(ICS)扩张。

这个博客提供指导如何关键基础设施的运营商和其他操作技术环境可以快速、有效地解决这些缺陷。

OT简史和制度

要理解的挑战,让我们首先回顾操作技术简史(OT)和可编程逻辑控制器(PLC)。介绍在1960年代末以来,PLC技术已经变得更加复杂,更加紧密。这些进步创造了一个需要网络和分布式接口。而不是运行信号电线在广阔的领域,资产所有者开始利用串行和哄通信将这些设备接近所需的系统控制。随着网络连接越来越普遍,它改变了这些设备制造商或资产所有者如何运作。

如今,大多数有以太网接口,往往不止一个。PLC系统可以连接彼此之间,编程终端、监控和数据采集(SCADA)系统,以及企业数据库。

罗克韦尔自动化设备时,艾伦-布拉德利ControlLogix系统使用连接设备之间建立通信链接(您可以阅读更多罗克韦尔自动化的产品文档)。这些连接包括以下类型:

• Controller-to-local I / O模块或本地通信模块Controller-to-remote I / O或远程通信模块
• Controller-to-remote I / O模块(机架优化)
• 生产和消费的标签
• 消息
• 控制器访问Studio 5000环境
• 控制器的访问与RSLinx软件人机界面(HMI)或其他应用程序

这些设备被安装在不同的体系结构由于各种原因,包括业务/功能需求,沟通需求和细分。但是有挑战组织中检测这些资产。

挑战一:方便的网络资产的快速检测

现代PLC系统被设计成模块化,许多不同类型的模块可以在底盘或“架子上。“一个PLC底盘可以有多个通信卡,输入卡或输出卡。是常见的在许多环境中plc网络连接到一个位置,同时包含多个附加网络模块提供网络连接细胞/区域较小的网络区域分割。

例子:

来源:罗克韦尔自动化/思科聚合Plantwide以太网设计和实现指南3-13无花果。

让我们考虑以下场景ControlLogix系统连接到一个人机界面(HMI)或网络位置。在我们的场景中,Nessus扫描仪出现在相同的可路由的管理/网站网络。

来源:这张照片是由合理的使用罗克韦尔自动化集成架构构建器2023年7月,

网络接口连接到网站或监督网络已经被Nessus和用户确认可以开始研究如何修复该资产与内部团队。不幸的是,用户没有颗粒状的细节确定槽ControlLogix底板中的信息,但他们已经确定了影响资产的IP地址。

识别所有受影响的资产在企业中是一个关键的第一步在应对这些漏洞。

挑战二:嵌套的资产和ICS的扩张

检查我们的场景中,有三个额外的网络接口连接下游在我们的环境中,不会被任何传统漏洞扫描器。ControlLogix设备使用通用工业协议(CIP)彼此之间的交流。CIP包含一套综合的信息和服务的工业自动化应用程序控制,安全、同步、运动、配置和信息。

潜水深入工业控制系统和发现更多的嵌套设备在这些制度和底盘需要这些工业协议的“语言”。

有两个主要的方法来确定资产在一个集成电路环境:

1. 被动:被动技术可以识别主动开发的cf(你可以阅读更多关于这篇文章)。通常,这些传感器被放置在重要的节点ICS的网络,如DMZ,核心交换机和入口/出口点。不幸的是,利用被动技术来识别影响资产是具有挑战性的,因为ICS协议如CIP一般不播放所需的所有信息匹配一个弱点在他们正常的操作状态。在正常操作期间,这些设备不需要志愿者对自己关键属性。ICS协议被设计为运行精益只有信息执行工业过程的关键。
2. 活动:实现完整的资产可见性在这些环境中,我们列举这些独特的资产是很重要的。只识别设备连接在一个位置的网络不会提供一个全面的视图,并将让你获得一个完整的库存资产在发生影响的脆弱,让你处于危险之中。

让我们进一步探索如何活跃枚举在这些环境中工作。回到我们的例子中,总共有4个网络接口,即使只有一个站点的可路由的网络(插槽1 CLX_1,别担心第一槽槽0 !)最初被发现。

来源:这张照片是由合理的使用罗克韦尔自动化集成架构构建器2023年7月,

识别两个额外的网络接口插槽2和3,底盘和远程网络模块插槽0,有必要交流这些设备在原有协议,国际马铃薯中心。

列举不安全资产与站得住脚的不安全

站得住脚的不安全是专门为工业环境和安全通信OT资产使用其专利主动查询技术(# - 10261489 - b2)。这种技术使用只读查询本机设备通信协议,产生深刻的细节状态的每个工业资产以安全的方式,没有查询设备上操作的影响。除了使用的协议由罗克韦尔自动化ControlLogix产品,成立支持广泛的协议和供应商列表,不仅对加班,但对IT系统(令人惊讶的一些,往往占到50%的设备在OT的环境中)。

当查询ControlLogix站得住脚的不安全,每个模块通过EthernetIP / CIP底盘的枚举。这个数据被用来建立一个资产库存模块和子网连接。可以评估每个漏洞根据收集的信息。

通过集成站得住脚的脆弱性管理(原名Tenable.io)、合理的安全中心(原Tenable.sc),用户可以连接站得住脚的不安全填充资产和脆弱性数据到他们企业脆弱性管理工具整体观(你可以阅读更多关于这个在这里)。

下一步可以解决cve - 2023 - 3595和cve - 2023 - 3596

站得住脚的高度鼓励您更新您的插件并运行一个扫描来确定cve - 2023 - 3595和cve - 2023 - 3596存在在您的环境中,如果他们这样做,解决他们立即升级到最新固件版本。

深可见性资产和漏洞和OT设备在工业环境中是核心能力的不安全,但是还有很多可以做的。更多地了解站得住脚的不安全性,访问我们开云app安全 和请求一个演示。

了解更多 阅读博客cve cve - 2023 - 3595 - 202 - 3596:罗克韦尔自动化ControlLogix漏洞的披露 阅读更多关于站得住脚的不安全插件覆盖cve - 2023 - 3595, cve - 2023 - 3596 阅读更多关于站得住脚的Nessus插件覆盖cve - 2023 - 3595, cve - 2023 - 3596 读罗克韦尔自动化的漏洞的披露 参观开云app安全