Слабая защита криптоключа проделала в промышленных контроллерах Rockwell 10-бальную дыру

[Ippolitovich]

Независимо друг от друга специалисты «Лаборатории Касперского», Сычуаньского университета (КНР) и компании Claroty (США) выявили опасную уязвимость в программируемых контролерах Rockwell Automation. Уязвимость с идентификатором CVE-2021-22681 имеет десять балов из десяти по шкале угроз CVSS. Слабым местом оказалась защита вшитого в контроллеры криптоключа, что стало прямой угрозой системам управления производством.

 

Уязвимостью затронуты практически все актуальные контроллеры компании Rockwell Automation, которые продаются под брендом Logix. Это около двух десятков устройств, с полным списком которых можно ознакомиться, например, по этой ссылке. Все они, так или иначе, используются в различных системах АСУ ТП (автоматические системы управления технологическими процессами). Извлечение ключа даёт возможность злоумышленнику удалённо изменить настройки контроллеров и загрузить в них свой собственный код. Серьёзность данной уязвимости тяжело переоценить. Злоумышленник может как испортить продукцию на конвейере, так и вызвать техногенную катастрофу, если вмешается в систему управления опасного производства.

 

 

Доступ к криптоключу, как выяснили исследователи по безопасности, можно сравнительно просто получить через программное обеспечение Studio 5000 Logix Designer на рабочей станции инженера, который по сети программирует контроллеры. Таким образом к контролеру можно обратиться без дополнительной аутентификации, поскольку ключ служит подтверждением полномочий рабочей станции на соединение. Злоумышленник может удалённо имитировать рабочую станцию инженера, и делать с ПО контроллера всё, что ему вздумается.

 

 

Компания Rockwell была предупреждена об уязвимости около двух лет назад. О наличии уязвимости CVE-2021-22681 публично было сообщено в минувший четверг. Никаких заплаток, тем не менее, выпущено не было. По мнению Rockwell Automation, соблюдение элементарных правил информационной безопасности и сегментирование рабочих сетей сводит опасность уязвимости к минимально возможной. «Не подключайте производственные локальные сети к Интернету», — вот основной посыл производителя контроллеров. «А как же тенденция перехода на удалённую работу?», — хотим спросить мы.