Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en dispositivos MicroLogix 1400

Fecha de publicación 02/04/2018
Importancia
5 - Crítica
Recursos Afectados
  • Allen-Bradley MicroLogix 1400 Series B FRN 21.003
  • Allen-Bradley MicroLogix 1400 Series B FRN 21.002
  • Allen-Bradley MicroLogix 1400 Series B FRN 21.0
  • Allen-Bradley MicroLogix 1400 Series B FRN 15
Descripción

Los investigadores Jared Rittle y Patrick DeSantis, de Cisco Talos, han reportado múltiples vulnerabilidades que afectan a productos de Rockwell y que podrían causar la denegación del servicio,la divulgación de información confidencial, la pérdida de comunicación y/o la modificación de la configuración o la escala lógica.

Solución

Se recomienda actualizar el firmware de los dispositivos afectados a la versión:

  • Allen-Bradley MicroLogix 1400 FRN 21.004

Para usuarios de MicroLogix 1400 Serie A o para usuarios de MicroLogix 1100 se recomienda migrar a MicroLogix1400 Serie B o C y para esto Rockwell Automation recomienda que se pongan en contacto con su distribuidor. Puede encontrar más información en la página de Rockwell Automation sobre esta vulnerabilidad.

Además se recomienda a los usuarios afectados establecer el valor de la clave “keyswitch” al valor “Hard Run” para evitar cualquier cambio no autorizado.

Cisco Talos también ha generado reglas de seguridad para SNORT para detectar posibles ataques que utilicen estas vulnerabilidades, con los siguientes identificadores (SID): 44424, 44425, 44426, 44427, 44428 y 44429

Detalle

Las vulnerabilidades detectadas por los investigadores de Cisco Talos son las siguientes:

  • Vulnerabilidad de denegación de servicio por un paquete malformado de la tarjeta Ethernet: esta vulnerabilidad permitiría a un atacante alterar el ciclo de potencia del dispositivo y causar un fallo del mismo, para aprovecharse de esta vulnerabilidad además no es necesario utilizar Ethernet/IP por lo que deshabilitarlo usando RSLogix no sería suficiente. Se ha asignado el identificador CVE-2017-12088 para esta vulnerabilidad.
  • Vulnerabilidad de denegación de servicio mediante la funcionalidad de descarga: Un atacante remoto no autenticado podría enviar un paquete especialmente diseñado al controlador durante el proceso de descarga estándar. Sin el paquete adecuado para indicar la finalización de la descarga, el controlador. Se ha asignado el identificador CVE-2017-12089 para esta vulnerabilidad.
  • Vulnerabilidad de denegación de servicio con una solicitud de establecimiento de SNMP: Una solicitud de configuración de SNMP especialmente diseñada, cuando se envía sin los valores adecuados para cambiar parámetros del firmware podría causar que el dispositivo se apague y cause la denegación de servicio. Se ha asignado el identificador CVE-2017-12090 para esta vulnerabilidad.
  • Vulnerabilidad en el control de acceso al dispositivo: Un atacante remoto no autenticado podría enviar un paquete especialmente diseñado al dispositivo afectado y utilizar operaciones de lectura o escritura que podrían generar varios impactos potenciales, que van desde la divulgación de información confidencial, la modificación de configuraciones o la modificación de la lógica del programa. Se han asignado los identificadores CVE-2017-14462 a CVE-2017-14473 para esta vulnerabilidad en función del parámetro o fichero afectado.
  • Vulnerabilidad de escritura de archivos en el módulo de memoria: El módulo de memoria instalado en un controlador MicroLogix que permite al usuario instruir al controlador para que escriba su programa en el módulo sin autenticación. El módulo de memoria es una copia de seguridad, pero también se puede usar para cargar programas una vez que se produce un error, y tiene la capacidad de cargar el programa cada vez que se enciende el dispositivo. Se ha asignado el identificador CVE-2017-12092 para esta vulnerabilidad.
  • Vulnerabilidad de registro de sesión maliciosa o pérdida de las comunicaciones: El controlador MicroLogix 1400 admite diez sesiones activas a la vez. La vulnerabilidad descubierta consiste en que un usuario malintencionado puede enviar sus propios paquetes de sesión para crear su propia conexión con el controlador, evitando que los usuarios válidos accedan al PLC. Además cuando ya hay diez conexiones, al enviar una nueva la más antigua se desconecta provocando el corte de la comunicación. Se ha asignado el identificador CVE-2017-12093 para esta vulnerabilidad.

Encuesta valoración