Уязвимости в ПЛК Rockwell Automation могут привести к атакам, подобным Stuxnet

Анализ платформы программируемого логического контроллера (ПЛК) Rockwell Automation выявил две опасные уязвимости. Их эксплуатация позволяет злоумышленникам изменять процессы автоматизации и потенциально прерывать промышленные операции, причинять физический ущерб заводам или предпринимать другие злонамеренные действия.

Исследователи в области кибербезопасности из Claroty Team82 обнаружили уязвимости и описали их как похожие на Stuxnet по своей природе. Сходство заключается в том, что проблемы позволяют злоумышленникам запускать вредоносный код на ПЛК, не вызывая какого-либо явно необычного поведения. Уязвимости затрагивают 17 моделей ПЛК Rockwell и влияют на организации критического сектора инфраструктуры по всему миру.

Одну из уязвимостей можно эксплуатировать удаленно (CVE-2022-1161), и она получила максимальную оценку в 10 баллов по шкале CVSS. Уязвимость существует во встроенном ПО ПЛК, работающем на линиях систем управления Rockwell ControlLogix, CompactLogix и GuardLogix.

«Это ведущие линейки ПЛК в каталоге Rockwell. Устройства распространены почти во всех отраслях, включая автомобилестроение, производство продуктов питания и напитков, а также нефтегазовую отрасль», — отметил вице-президент Claroty Амир Премингер (Amir Preminger).

Уязвимость связана с тем фактом, что ПЛК хранит исполняемый файл (байт-код) и исходный код в разных местах ПЛК. Это дает злоумышленникам возможность изменить байт-код без изменения исходного кода. Проблема возникла из-за неспособности контролировать включение функций из ненадежной сферы.

Вторая уязвимость (CVE-2022-1159) присутствует в программном обеспечении Rockwell Studio 5000 Logix Designer, которое инженеры используют для программирования своих ПЛК. Программное обеспечение позволяет инженерам разрабатывать, компилировать и переносить недавно разработанную логику в линейку программируемых логических контроллеров компании.

Уязвимость в Studio 5000 Logix Designer позволяет злоумышленнику с административным доступом к рабочей станции, на которой запущено программное обеспечение, перехватить процесс компиляции, внедрить вредоносный код, а затем выполнить его на ПЛК, не вызывая никаких предупреждений. Уязвимость получила оценку в 7,7 баллов по шкале CVSS.