Er zijn twee nieuwe beveiligingsproblemen onthuld in de programmeerbare logische controllers van Rockwell Automation (PLC’s) en technische werkstationsoftware die door een aanvaller kan worden misbruikt om kwaadaardige code op getroffen systemen te injecteren en heimelijk automatiseringsprocessen aan te passen.
De fouten kunnen industriële operaties verstoren en fysieke schade aan fabrieken veroorzaken op een manier die vergelijkbaar is met die van Stuxnet en de Rogue7-aanvallen, zei operationeel technologiebeveiligingsbedrijf Claroty.
“Programmeerbare logica en vooraf gedefinieerde variabelen sturen deze aan [automation] processen, en wijzigingen aan beide zullen de normale werking van de PLC en het proces dat het beheert veranderen”, aldus Sharon Brizinov van Claroty. dat is genoteerd in een artikel dat donderdag is gepubliceerd.
De lijst met twee gebreken staat hieronder –
- CVE-2022-1161 (CVSS-score: 10.0) – Een op afstand te misbruiken fout die een kwaadwillende actor in staat stelt om door de gebruiker leesbare “tekstuele” programmacode naar een andere geheugenlocatie te schrijven dan de uitgevoerde gecompileerde code (ook bekend als bytecode). Het probleem zit in PLC-firmware die draait op Rockwell’s ControlLogix-, CompactLogix- en GuardLogix-besturingssystemen.
- CVE-2022-1159 (CVSS-score: 7,7) – Een aanvaller met beheerderstoegang tot een werkstation waarop de Studio 5000 Logix Designer-toepassing wordt uitgevoerd, kan het compilatieproces onderscheppen en code in het gebruikersprogramma injecteren zonder medeweten van de gebruiker.
Succesvol misbruik van de defecten kan een aanvaller in staat stellen gebruikersprogramma’s aan te passen en kwaadaardige code naar de controller te downloaden, waardoor de normale werking van de PLC wordt gewijzigd en frauduleuze commando’s kunnen worden verzonden naar de fysieke apparaten die door het industriële systeem worden bestuurd.
“Het eindresultaat van het exploiteren van beide kwetsbaarheden is hetzelfde: de ingenieur gelooft dat er goedaardige code op de PLC draait; ondertussen wordt er compleet andere en potentieel schadelijke code uitgevoerd op de PLC”, legt Brizinov uit.
De ernst van de gebreken heeft ook geleid tot een adviserend van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat de mitigatiestappen schetst die gebruikers van de getroffen hardware en software kunnen nemen voor een “alomvattende verdedigingsstrategie”.
