Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad RCE en Rockwell Automation RSLogix 5 y RSLogix 500

Fecha de publicación 20/09/2024
Identificador
INCIBE-2024-0465
Importancia
4 - Alta
Recursos Afectados

Todas las versiones de:

  • RSLogix 500,
  • RSLogix Micro Developer y Starter,
  • RSLogix 5.
Descripción

Sharon Brizinov, investigador de Claroty Research - Team82, ha reportado una vulnerabilidad de severidad alta que afecta a los productos RSLogix 5 y RSLogix 500 de Rockwell Automation, cuya explotación podría permitir a un atacante realizar una ejecución remota de código.

Solución

El fabricante recomienda aplicar las siguientes medidas de mitigación:

  • Denegar la función de ejecución en FactoryTalk Administration Console, cuando no se necesite, accediendo a Policies, seleccionando Enable/Disable VBA y luego marcando la casilla Deny para bloquear la ejecución de código VBA.
  • Guardar los archivos del proyecto en una ubicación de confianza donde solo los administradores puedan modificarlos y verificar la integridad de los archivos.
  • Utilizar la función de protección del editor VBA, que bloquea la visualización y edición del código VBA estableciendo una contraseña.
Detalle

Una función de los productos afectados permite a los usuarios preparar un archivo de proyecto con un script VBA incrustado que podría configurarse para que se ejecute una vez abierto el archivo de proyecto, sin intervención del usuario. Esta funcionalidad podría emplearse para engañar a un usuario legítimo y hacer que ejecute código malicioso al abrir un archivo de proyecto RSP/RSS infectado. Se ha asignado el identificador CVE-2024-7847 para esta vulnerabilidad.