La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) alertó sobre dos fallas de seguridad que afectan los modelos de módulos de comunicación ControlLogix EtherNet/IP (ENIP) de Rockwell Automation que podrían explotarse para lograr la ejecución remota de código y la denegación de servicio (DoS).
«Los resultados y el impacto de explotar estas vulnerabilidades varían según la configuración del sistema ControlLogix, pero podrían provocar la denegación o pérdida de control, la denegación o pérdida de vista, el robo de datos operativos o la manipulación del control con consecuencias perturbadoras o destructivas en el proceso industrial del que es responsable el sistema ControlLogix», Draogos dicho.
La lista de fallas es la siguiente:
- CVE-2023-3595 (Puntuación CVSS: 9,8): una falla de escritura fuera de los límites que afecta a los productos 1756 EN2* y 1756 EN3* y que podría provocar la ejecución de código arbitrario con persistencia en el sistema de destino a través de mensajes de protocolo industrial común (CIP) malintencionados.
- CVE-2023-3596 (Puntuación CVSS: 7,5): una falla de escritura fuera de los límites que afecta a los productos 1756 EN4* y que podría conducir a una condición DoS a través de mensajes CIP malintencionados.
«La explotación exitosa de estas vulnerabilidades podría permitir que los actores maliciosos obtengan acceso remoto a la memoria en ejecución del módulo y realicen actividades maliciosas», CISA dicho.
Peor aún, se podría abusar de las fallas para sobrescribir potencialmente cualquier parte del sistema para pasar desapercibido y permanecer persistente, sin mencionar que hace que el módulo no sea confiable.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Los dispositivos afectados incluyen 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2FK, 17 56-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK y 1756-EN4TRXT. Rockwell Automation ha puesto a disposición parches para solucionar los problemas.
«El tipo de acceso provisto por CVE-2023-3595 es similar al día cero empleado por XENOTIME en el ataque trisis«, dijo la compañía de ciberseguridad industrial. «Ambos permiten la manipulación arbitraria de la memoria del firmware, aunque CVE-2023-3595 apunta a un módulo de comunicación responsable de manejar los comandos de la red. Sin embargo, su impacto es el mismo».
TRISIS, también conocido como TRITON, es un malware de sistemas de control industrial (ICS) que ha sido previamente observado dirigido a los controladores del sistema instrumentado de seguridad (SIS) Triconex de Schneider Electric utilizados en instalaciones de petróleo y gas. Una planta petroquímica en Arabia Saudita fue descubierta como víctima a fines de 2017, según Dragos y Mandiant.
Dragos advirtió que descubrió una «capacidad de explotación inédita que aprovecha estas vulnerabilidades» que están asociadas con un grupo de estado-nación identificado y que, a mediados de julio de 2023, «no había evidencia de explotación en la naturaleza y las organizaciones víctimas objetivo y verticales de la industria eran desconocidos».
«Además del compromiso del propio módulo vulnerable, la vulnerabilidad también podría permitir que un atacante afecte el proceso industrial junto con la infraestructura crítica subyacente, lo que puede resultar en una posible interrupción o destrucción», dijo el investigador de Tenable Satnam Narang. dicho de CVE-2023-3595.