Rockwell Automation拒绝服务漏洞安全通告
发布时间 2018-12-11漏洞编号和级别
CVE编号: CVE-2018-17924,危险级别:高危,CVSS分值:厂商自评8.6,官方未评定
影响版本
MicroLogix 1400 Controllers Series A(全部版本),Series B 21.003及之前版本,Series C 21.003及之前版本;1756-ENBT(全部版本),1756-EWEB Series A(全部版本),1756-EWEB Series B(全部版本),1756-EN2F Series A(全部版本),1756-EN2F Series B(全部版本),1756-EN2F Series C 10.10及之前版本,1756-EN2T Series A(全部版本),1756-EN2T Series B(全部版本),1756-EN2T Series C(全部版本),1756-EN2T 10.10及之前版本,1756-EN2TR Series A(全部版本),1756-EN2TR Series B(全部版本),Series C 10.10及之前版本,1756-EN3TR Series A(全部版本),1756-EN3TR Series B 10.10及之前版本(1756 ControlLogix EtherNet/IP通信模块)。
漏洞概述
上周四,ICS-CERT 发布安全公告详述该漏洞情况,不过罗克韦尔自动化公司在数周前就通知客户相关情况,而罗克韦尔安全公告仅向注册用户公开。
罗克韦尔公司和 ICS-CERT 公司表示,该漏洞 (CVE-2018-1792) 的 CVSSv3评分为8.6,影响A、B、C系列的 MicroLogix 1400 控制器。它还影响1756 ControlLogix 以太网/IP 通信模块的多个版本,包括A、B、C和D系列。
ICS-CERT 表示受影响产品用于全球各地多个行业,如交通、关键制造业、食品和农业、以及水和废水行业。
该漏洞可导致远程未经认证的攻击者导致受影响设备进入 DoS 条件。罗克韦尔公司解释称,未经认证的远程威胁者可能向受影响设备发送 CIP 连接请求并在成功连接后向受影响设备发送新的 IP 配置信息,即使系统中的控制器被设置为“Hard Run”模式。当受影响设备接受了这个新的 IP 配置信息后,设备和系统其它部分之间就缺失了通信,原因是系统流量仍然在试图通过被覆写的 IP 地址和设备通信。
罗克韦尔公司已为受影响控制器和通信模块发布固件更新,但对其中很多仅发布缓解措施。这些措施包括使用防火墙阻止源自越权来源的以太网/IP 信息、使用硬件按键开关设置阻止对设备进行越权更改并将控制系统的网络暴露最小化。
DoS 漏洞可对工业环境带来严重风险。工控环境可被用于对生产系统造成严重损害。和机密性为最重要的 IT 网络不通,操作技术 (OT) 网络运营人员最大的担忧是可用性问题。
漏洞验证
暂无POC/EXP。
修复建议
官方已经发布了新版本修复了该漏洞,请受影响的用户及时更新,形成对此漏洞长期有效的防护。
参考链接
https://ics-cert.us-cert.gov/advisories/ICSA-18-310-02
https://www.securityfocus.com/bid/106132/solution
https://www.securityweek.com/vulnerability-exposes-rockwell-controllers-dos-attacks
京公网安备11010802024551号