4月2日訊 思科 Talos 團隊3月28日發(fā)博文指出，羅克韋爾 Allen-Bradley MicroLogix 1400 可編程邏輯控制器（PLC）中存在多個嚴重的漏洞，這些漏洞可用來發(fā)起 DoS 攻擊，修改設(shè)備的配置和梯形邏輯，寫入或刪除其內(nèi)存模塊上的數(shù)據(jù)。

可編程邏輯控制器（PLC）：

常用于控制工業(yè)中的自動化系統(tǒng)。它們是最先進和最簡單的控制系統(tǒng)之一，現(xiàn)在正在大規(guī)模地取代硬連線邏輯繼電器。MicroLogix 系列 PLC 在全球范圍內(nèi)被廣泛應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施、食品生產(chǎn)業(yè)、農(nóng)業(yè)以及污水處理等行業(yè)的工業(yè)控制系統(tǒng)（ICS）。

經(jīng)思科測試確認，以下版本受到影響：

Allen-Bradley Micrologix 1400 Series B FRN 21.003

Allen-Bradley Micrologix 1400 Series B FRN 21.002

Allen-Bradley Micrologix 1400 Series B FRN 21.0

Allen-Bradley Micrologix 1400 Series B FRN 15

漏洞情況

最嚴重為訪問控制漏洞， CVSS 評分為10分。未經(jīng)授權(quán)的遠程攻擊者可利用這些漏洞發(fā)送特制的數(shù)據(jù)包獲取敏感信息，更改設(shè)備設(shè)置或梯形邏輯。

雖然利用其中某些漏洞要求 PLC 的開關(guān)處于“遙控”（REMOTE）或“編程”（PROG）狀態(tài)，但無論開關(guān)設(shè)置如何，讀取主密碼和主梯形邏輯就能加以利用。

另一個潛在的嚴重漏洞為CVE-2017-12088，允許遠程攻擊者向以太網(wǎng)端口發(fā)送特制的數(shù)據(jù)包，從而讓控制器進入故障狀態(tài)，并潛在刪除梯形邏輯。

DoS 漏洞還存在于設(shè)備的程序下載和固件更新功能中，這些漏洞被歸為“中?！甭┒?。其它不太嚴重的漏洞包括：

影響內(nèi)存模塊的文件寫入漏洞；

與會話連接功能有關(guān)的DoS漏洞。對于這個會話通信漏洞，羅克韋爾表示，系統(tǒng)實際上會按預(yù)期運行，不需要任何補丁或緩解措施。

羅克韋爾已發(fā)布固件更新來解決其中部分漏洞，并提出了一系列緩解措施，例如將開關(guān)設(shè)置為“Hard Run”即可防止未經(jīng)授權(quán)的更改行為，并禁用受影響的服務(wù)。

思科已發(fā)布技術(shù)細節(jié)和 PoC 代碼。羅克韋爾自動化也發(fā)布了公告，但只有注冊用戶才能訪問。

由于這些設(shè)備常部署用以支持關(guān)鍵工業(yè)控制流程，一旦被利用可能會帶來嚴重的損害。思科的研究人員建議使用受影響設(shè)備的組織機構(gòu)將固件升級到最新版本。

MicroLogix 1400多次曝出漏洞

此次并非 MicroLogix 1400 PLC 首次被曝漏洞。2016年，思科 Talos 團隊就報告稱，這一系列設(shè)備中存在漏洞，可能會被利用修改設(shè)備上的固件。

2018年1月，美國阿拉巴馬大學(xué)亨茨維爾分校某安全專家發(fā)現(xiàn)多種運行固件版本（21.002及更早版本的B系列和C系列）MicroLogix 1400 PLC 存在安全漏洞CVE-2017-16740，CVSS評分為8.6。這是一個基于堆棧的緩沖區(qū)溢出漏洞，可以通過特制的 Modbus TCP 數(shù)據(jù)包發(fā)送到受影響的設(shè)備進行觸發(fā)，允許攻擊者遠程執(zhí)行任意代碼。但羅克韋爾自動化早在2017年12月份發(fā)布了針對B系列和C系列硬件的固件版本21.003，以修復(fù)該漏洞。當時這個漏洞還影響1766-L32AWA、1766-L32AWAA、1766-L32BWA、1766-L32BWAA、1766-L32BXB和1766-L32BXBA系列產(chǎn)品。

建議用戶應(yīng)盡量避免將控制系統(tǒng)設(shè)備以及相關(guān)系統(tǒng)暴露在互聯(lián)網(wǎng)中，確保不能通過互聯(lián)網(wǎng)直接訪問，必要時可使用虛擬專用網(wǎng)絡(luò)（VPN）。