Evasión de autenticación en múltiples productos de Rockwell Automation
Están afectados los siguientes productos de software:
- RSLogix 5000: versiones desde la 16 hasta la 20;
- Studio 5000 Logix Designer: versiones 21 y posteriores;
- [Actualización 19/03/2021]: FactoryTalk Security, parte de FactoryTalk Services Platform version 2.10 y posteriores.
Los siguientes productos Rockwell Logix Controllers:
- CompactLogix 1768,
- CompactLogix 1769,
- CompactLogix 5370,
- CompactLogix 5380,
- CompactLogix 5480,
- ControlLogix 5550,
- ControlLogix 5560,
- ControlLogix 5570,
- ControlLogix 5580,
- DriveLogix 5560,
- DriveLogix 5730,
- DriveLogix 1794-L34,
- Compact GuardLogix 5370,
- Compact GuardLogix 5380,
- GuardLogix 5570,
- GuardLogix 5580,
- SoftLogix 5800.
Investigadores del laboratorio Information Systems Security Assurance, de la universidad de Soonchunhyang, y las empresas Kaspersky y Claroty, han descubierto una vulnerabilidad en la autenticación de los controladores Logix que permitiría evadir la autenticación de manera remota y alterar la configuración del controlador o el código de la aplicación.
Rockwell aconseja a sus clientes combinar sus recomendaciones específicas, con las pautas generales de seguridad para una estrategia integral de defensa en profundidad, en particular:
- guía de instalación o implementación para CIP Security;
- consultar las pautas de diseño de seguridad de sistemas de Rockwell Automation sobre cómo utilizar sus productos;
- controles de seguridad y segmentación de red adecuados, consultando la Guía de implementación y diseño de Ethernet en toda la planta convergente (CPwE) para conocer las mejores prácticas para implementar la segmentación de la red.
Rockwell recomienda a los usuarios las siguientes acciones específicas para sus productos y versiones:
- ControlLogix 5580 v32 o posterior:
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- Implemente CIP Security para las conexiones de Logix Designer a través del puerto frontal. CIP Security evita la conexión no autorizada cuando se implementa correctamente.
- Si no usa el puerto frontal, use un módulo 1756-EN4TR ControlLogix Ethernet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- ControlLogix 5580 v31:
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- Aplique v32 o posterior y siga las acciones de mitigación descritas anteriormente.
- Si no puede aplicar una versión más reciente, use un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- ControlLogix 5570 v31 o posterior:
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- Utilice un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- ControlLogix 5580 v28-v30, ControlLogix 5570 v18 o posterior, ControlLogix 5560 v16 o posterior, ControlLogix 5550 v16, GuardLogix 5580 v31 o posterior, GuardLogix 5570 v20 o posterior, GuardLogix 5560 v16 o posterior, 1768 CompactLogix v16 o posterior, 1769 CompactLogix v16 o posterior, CompactLogix 5370 v20 o posterior, CompactLogix 5380 v28 o posterior, CompactLogix 5480 v32 o posterior, Compact GuardLogix 5370 v28 o posterior, Compact GuardLogix 5380 v31 o posterior, FlexLogix 1794-L34 v16, DriveLogix 5370 v16 o posterior:
- Ponga el interruptor de modo del controlador en modo "Ejecutar".
- SoftLogix 5800: No hay mitigación adicional disponible. Siga la Guía de diseño e implementación de Converged Plantwide Ethernet (CPwE).
Adicionalmente, Rockwell recomienda que los usuarios empleen los siguientes métodos para detectar cambios en la configuración de los dispositivos:
- Supervise el registro de cambios del controlador para detectar modificaciones inesperadas o actividad anómala.
- Si usa v17 o posterior, utilice la función de registro del controlador.
- Si usa v20 o posterior, utilice la detección de cambios en la aplicación Logix Designer.
- Si está disponible, use la funcionalidad en Factory Talk AssetCentre para detectar cambios.
Para solicitudes de información adicional se pueden enviar a Rockwell RASecure Inbox: anonym@incibe.es379.
CISA también recomienda:
- Minimice la exposición de la red para todos los dispositivos, en especial desde Internet.
- Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls, y separados de la red empresarial.
- Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN).
La vulnerabilidad descubierta permite, a través de una funcionalidad en Studio 5000 Logix Designer, usar una clave para verificar que los controladores Logix se estén comunicando con los productos de Rockwell afectados, y un atacante remoto no autenticado podría eludir este mecanismo de verificación y autenticarse con los controladores. La criticidad de esta vulnerabilidad es de 10 según la metodología de cálculo CVSS v3. Se ha asignado el identificador CVE-2021-22681 para esta vulnerabilidad.