Private Key desprotegida permite acceso remoto de controladores Rockwell

Una alarma para el sector industrial: Una vulnerabilidad de derivación de autenticación crítica puede permitir a los ciberatacantes comprometer de forma remota los controladores lógicos programables (PLC) fabricados por el gigante de la automatización industrial Rockwell Automation.

La vulnerabilidad, rastreada como CVE-2021-22681 con una puntuación CVSS de 10, fue informada de forma independiente a Rockwell por investigadores de la Universidad de Soonchunhyang en Corea del Sur, Kaspersky y la firma de ciberseguridad industrial Claroty.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y Rockwell publicaron esta semana advertencias sobre esta falla. 

La vulnerabilidad afecta a Studio 5000 Logix Designer (anteriormente RSLogix 5000), el popular software de diseño y configuración para PLC, así como a más de una docena de controladores CompactLogix, ControlLogix, DriveLogix, Compact GuardLogix, GuardLogix y SoftLogix.

El problema está relacionado con el software Logix Designer que utiliza una clave criptográfica privada para verificar las comunicaciones con los controladores. Esta clave no está lo suficientemente protegida, lo que permite que un atacante remoto no autenticado eluda el mecanismo de verificación y se conecte al controlador imitando una estación de trabajo de ingeniería.

Una vez que se han conectado al PLC, un atacante en la red de la organización objetivo, o malware, puede cargar código malicioso en el controlador, descargar información del dispositivo o instalar nuevo firmware. Claroty señaló que la explotación de la vulnerabilidad podría afectar directamente un proceso de fabricación.

Claroty dijo que informó del problema a Rockwell en 2019. No está claro cuándo los demás informaron al proveedor sobre la vulnerabilidad.

Rockwell ha aconsejado a los clientes que implementen mitigaciones para reducir el riesgo de explotación, lo que incluye poner los controladores en «modo de ejecución», implementar CIP Security para evitar conexiones no autorizadas y actualizar el firmware del controlador. También ha compartido información para detectar cambios potencialmente maliciosos y realizar mejoras generales de seguridad.