-
06/07/2013
-
797
-
1.304 bài viết
Lỗi nghiêm trọng trong PLC Rockwell cho phép cấy mã độc vào hệ thống
Hai lỗ hổng mới vừa được phát hiện trong PLC (programmable logic controller - bộ điều khiển lập trình) và phần mềm máy trạm kỹ thuật (engineering workstation software) của Rockwell Automation, có thể bị kẻ tấn công lợi dụng để đưa mã độc vào các hệ thống bị ảnh hưởng và bí mật thay đổi các quy trình tự động hóa.
Theo công ty an ninh mạng Claroty, các lỗ hổng có khả năng làm gián đoạn hoạt động công nghiệp và gây ra thiệt hại vật chất cho các nhà máy theo cách tương tự như các cuộc tấn công Stuxnet và Rogue7.
Hai lỗ hổng bao gồm:
- CVE-2022-1161 (điểm CVSS: 10,0) - Lỗ hổng nằm trong firmware PLC chạy trên các hệ thống điều khiển ControlLogix, CompactLogix và GuardLogix. Lỗ hổng cho phép kẻ tấn công viết mã chương trình người dùng có thể đọc vào một vị trí bộ nhớ riêng biệt với mã biên dịch đã được thực thi, từ đó sửa đổi mã mà không bị phát hiện. Để làm như vậy, kẻ tấn công có thể tận dụng lỗ hổng khóa bí mật được mã hóa cứng trong Logix controller đã được Team82 tiết lộ trước đó để giao tiếp với Rockwell Automation PLC và sửa đổi chương trình người dùng mà không cần sử dụng phần mềm Studio 5000 Logix Designer.
- CVE-2022-1159 (điểm CVSS: 7.7) - Được tìm thấy trong ứng dụng Studio 5000 Logix Designer để biên dịch chương trình người dùng trên máy trạm. Để khai thác thành công lỗ hổng này, kẻ tấn công trước tiên phải giành được quyền truy cập của quản trị viên vào máy trạm đang chạy Studio 5000 Logix Designer. Sau đó, kẻ tấn công có thể chặn quá trình biên dịch và đưa mã vào chương trình người dùng mà người dùng không hề hay biết.
Khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công sửa đổi các chương trình của người dùng và tải mã độc xuống bộ điều khiển, làm thay đổi hoạt động bình thường của PLC và cho phép gửi lệnh giả đến các thiết bị vật lý được điều khiển bởi hệ thống công nghiệp.
"Kết quả cuối cùng của việc khai thác cả hai lỗ hổng là như nhau: Kỹ sư tin rằng các đoạn mã an toàn đang chạy trên PLC trong khi đó, mã độc có khả năng đang được thực thi trên PLC".
Mức độ nghiêm trọng của các lỗ hổng này đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra khuyến nghị về các bước giảm thiểu mà người dùng phần cứng và phần mềm bị ảnh hưởng có thể thực hiện nhằm hoàn thiện phòng thủ và tránh bị tấn công.
Theo công ty an ninh mạng Claroty, các lỗ hổng có khả năng làm gián đoạn hoạt động công nghiệp và gây ra thiệt hại vật chất cho các nhà máy theo cách tương tự như các cuộc tấn công Stuxnet và Rogue7.
Hai lỗ hổng bao gồm:
- CVE-2022-1161 (điểm CVSS: 10,0) - Lỗ hổng nằm trong firmware PLC chạy trên các hệ thống điều khiển ControlLogix, CompactLogix và GuardLogix. Lỗ hổng cho phép kẻ tấn công viết mã chương trình người dùng có thể đọc vào một vị trí bộ nhớ riêng biệt với mã biên dịch đã được thực thi, từ đó sửa đổi mã mà không bị phát hiện. Để làm như vậy, kẻ tấn công có thể tận dụng lỗ hổng khóa bí mật được mã hóa cứng trong Logix controller đã được Team82 tiết lộ trước đó để giao tiếp với Rockwell Automation PLC và sửa đổi chương trình người dùng mà không cần sử dụng phần mềm Studio 5000 Logix Designer.
- CVE-2022-1159 (điểm CVSS: 7.7) - Được tìm thấy trong ứng dụng Studio 5000 Logix Designer để biên dịch chương trình người dùng trên máy trạm. Để khai thác thành công lỗ hổng này, kẻ tấn công trước tiên phải giành được quyền truy cập của quản trị viên vào máy trạm đang chạy Studio 5000 Logix Designer. Sau đó, kẻ tấn công có thể chặn quá trình biên dịch và đưa mã vào chương trình người dùng mà người dùng không hề hay biết.
Khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công sửa đổi các chương trình của người dùng và tải mã độc xuống bộ điều khiển, làm thay đổi hoạt động bình thường của PLC và cho phép gửi lệnh giả đến các thiết bị vật lý được điều khiển bởi hệ thống công nghiệp.
"Kết quả cuối cùng của việc khai thác cả hai lỗ hổng là như nhau: Kỹ sư tin rằng các đoạn mã an toàn đang chạy trên PLC trong khi đó, mã độc có khả năng đang được thực thi trên PLC".
Mức độ nghiêm trọng của các lỗ hổng này đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra khuyến nghị về các bước giảm thiểu mà người dùng phần cứng và phần mềm bị ảnh hưởng có thể thực hiện nhằm hoàn thiện phòng thủ và tránh bị tấn công.
Nguồn: Thehackernews
Chỉnh sửa lần cuối bởi người điều hành: