Se han revelado dos nuevas vulnerabilidades de seguridad en los controladores lógicos programables de Rockwell Automation (PLC) y software de estación de trabajo de ingeniería que podría ser explotado por un atacante para inyectar código malicioso en los sistemas afectados y modificar sigilosamente los procesos de automatización.
Las fallas tienen el potencial de interrumpir las operaciones industriales y causar daños físicos a las fábricas de manera similar a los ataques de Stuxnet y Rogue7, dijo la empresa de seguridad de tecnología operativa Claroty.
“La lógica programable y las variables predefinidas impulsan estos [automation] procesos, y los cambios en cualquiera alterarán el funcionamiento normal del PLC y el proceso que administra”, Sharon Brizinov de Claroty señalado en un artículo publicado el jueves.
La lista de dos defectos está a continuación:
- CVE-2022-1161 (Puntuación CVSS: 10.0): una falla explotable de forma remota que permite a un actor malicioso escribir un código de programa “textual” legible por el usuario en una ubicación de memoria separada del código compilado ejecutado (también conocido como código de bytes). El problema reside en el firmware del PLC que se ejecuta en los sistemas de control ControlLogix, CompactLogix y GuardLogix de Rockwell.
- CVE-2022-1159 (Puntuación CVSS: 7,7): un atacante con acceso administrativo a una estación de trabajo que ejecuta la aplicación Studio 5000 Logix Designer puede interceptar el proceso de compilación e inyectar código en el programa del usuario sin el conocimiento del usuario.
La explotación exitosa de los defectos podría permitir que un atacante modifique los programas de usuario y descargue un código malicioso en el controlador, alterando efectivamente el funcionamiento normal del PLC y permitiendo que se envíen comandos no autorizados a los dispositivos físicos controlados por el sistema industrial.
“El resultado final de explotar ambas vulnerabilidades es el mismo: el ingeniero cree que se está ejecutando un código benigno en el PLC; mientras tanto, se está ejecutando un código completamente diferente y potencialmente malicioso en el PLC”, explicó Brizinov.
La gravedad de las fallas también ha provocado una consultivo de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) que describe los pasos de mitigación que los usuarios del hardware y software afectados pueden tomar para una “estrategia integral de defensa en profundidad”.