Grave Vulnerabilità in PLC Rockwell Automation

Proto: N020418.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una importante vulnerabilità all’interno della famiglia di PLC Rockwell Automation MicroLogix, utilizzati in svariati ambiti industriali e potenzialmente anche all’interno di infrastrutture critiche. La problematica è nota con l’identificativo CVE-2017-12088.

Ricercatori di terze parti hanno individuato falle nella gestione di particolari messaggi di rete da parte dei dispositivi afflitti, le quali possono permettere ad un attaccante di rete non autenticato di transitare il dispositivo in uno stato di fault e cancellare le logiche di sequenza in uso. Il servizio vulnerabile è tipicamente abilitato come default sulla porta tcp/44818.


Figura 1. Potenziale esposizione internet di PLC Rockwell Automation (Fonte:ShodanHQ)


La problematica è stata valutata come critica all’interno del bollettino di sicurezza ICSA-18-095-01, nel quale risultano afflitte le seguenti famiglie di PLC:

  • MicroLogix 1400 Versions FRN 21.003 e versioni minori
  • MicroLogix 1100 Versions FRN 16.00 e versioni minori

Il Produttore ha confermato la problematica rilasciando opportune indicazioni di mitigazione sul portale dedicato al supporto.

Per via della potenziale criticità del contesto di utilizzo, della possibile esposizione al pubblico e della disponibilità di dettagli tecnici, Yoroi consiglia caldamente di verificare e limitare la visibilità di eventuali PLC Rockwell Automation all’interno delle vostre infrastrutture, di contattare il Produttore o eventuali distributori al fine di valutare e pianificare gli opportuni aggiornamenti.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index