Evasión de autenticación en múltiples productos de Rockwell Automation

Fecha de publicación 26/02/2021
Importancia
5 - Crítica
Recursos Afectados

Están afectados los siguientes productos de software:

  • RSLogix 5000: versiones desde la 16 hasta la 20;
  • Studio 5000 Logix Designer: versiones 21 y posteriores;
  • [Actualización 19/03/2021]: FactoryTalk Security, parte de FactoryTalk Services Platform version 2.10 y posteriores.

Los siguientes productos Rockwell Logix Controllers:

  • CompactLogix 1768,
  • CompactLogix 1769,
  • CompactLogix 5370,
  • CompactLogix 5380,
  • CompactLogix 5480,
  • ControlLogix 5550,
  • ControlLogix 5560,
  • ControlLogix 5570,
  • ControlLogix 5580,
  • DriveLogix 5560,
  • DriveLogix 5730,
  • DriveLogix 1794-L34,
  • Compact GuardLogix 5370,
  • Compact GuardLogix 5380,
  • GuardLogix 5570,
  • GuardLogix 5580,
  • SoftLogix 5800.
Descripción

Investigadores del laboratorio Information Systems Security Assurance, de la universidad de Soonchunhyang, y las empresas Kaspersky y Claroty, han descubierto una vulnerabilidad en la autenticación de los controladores Logix que permitiría evadir la autenticación de manera remota y alterar la configuración del controlador o el código de la aplicación.

Solución

Rockwell aconseja a sus clientes combinar sus recomendaciones específicas, con las pautas generales de seguridad para una estrategia integral de defensa en profundidad, en particular:

Rockwell recomienda a los usuarios las siguientes acciones específicas para sus productos y versiones:

  • ControlLogix 5580 v32 o posterior:
    • Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
      • Implemente CIP Security para las conexiones de Logix Designer a través del puerto frontal. CIP Security evita la conexión no autorizada cuando se implementa correctamente.
      • Si no usa el puerto frontal, use un módulo 1756-EN4TR ControlLogix Ethernet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
  • ControlLogix 5580 v31:
    • Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
      • Aplique v32 o posterior y siga las acciones de mitigación descritas anteriormente.
      • Si no puede aplicar una versión más reciente, use un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
  • ControlLogix 5570 v31 o posterior:
    • Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
      • Utilice un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
  • ControlLogix 5580 v28-v30, ControlLogix 5570 v18 o posterior, ControlLogix 5560 v16 o posterior, ControlLogix 5550 v16, GuardLogix 5580 v31 o posterior, GuardLogix 5570 v20 o posterior, GuardLogix 5560 v16 o posterior, 1768 CompactLogix v16 o posterior, 1769 CompactLogix v16 o posterior, CompactLogix 5370 v20 o posterior, CompactLogix 5380 v28 o posterior, CompactLogix 5480 v32 o posterior, Compact GuardLogix 5370 v28 o posterior, Compact GuardLogix 5380 v31 o posterior, FlexLogix 1794-L34 v16, DriveLogix 5370 v16 o posterior:
    • Ponga el interruptor de modo del controlador en modo "Ejecutar".
  • SoftLogix 5800: No hay mitigación adicional disponible. Siga la Guía de diseño e implementación de Converged Plantwide Ethernet (CPwE).

Adicionalmente, Rockwell recomienda que los usuarios empleen los siguientes métodos para detectar cambios en la configuración de los dispositivos:

  • Supervise el registro de cambios del controlador para detectar modificaciones inesperadas o actividad anómala.
  • Si usa v17 o posterior, utilice la función de registro del controlador.
  • Si usa v20 o posterior, utilice la detección de cambios en la aplicación Logix Designer.
  • Si está disponible, use la funcionalidad en Factory Talk AssetCentre para detectar cambios.

Para solicitudes de información adicional se pueden enviar a Rockwell RASecure Inbox: anonym@incibe.es379.

CISA también recomienda:

  • Minimice la exposición de la red para todos los dispositivos, en especial desde Internet.
  • Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls, y separados de la red empresarial.
  • Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN).
Detalle

La vulnerabilidad descubierta permite, a través de una funcionalidad en Studio 5000 Logix Designer, usar una clave para verificar que los controladores Logix se estén comunicando con los productos de Rockwell afectados, y un atacante remoto no autenticado podría eludir este mecanismo de verificación y autenticarse con los controladores. La criticidad de esta vulnerabilidad es de 10 según la metodología de cálculo CVSS v3. Se ha asignado el identificador CVE-2021-22681 para esta vulnerabilidad.

Encuesta valoración