I ricercatori del Team82 di Claroty hanno scoperto una vulnerabilità nei dispositivi Rockwell Automation che permette agli attaccanti di ottenere accesso non autorizzato ed eseguire comandi malevoli. Questa falla, identificata come CVE-2024-6242, interessa i dispositivi della serie ControlLogix 1756, utilizzati per applicazioni di automazione industriale ad alte prestazioni che richiedono grande scalabilità. Tali dispositivi comunicano tramite il protocollo CIP (Common Industrial Protocol) con sensori, attuatori e altri controller.
La vulnerabilità riguarda una funzionalità di sicurezza chiamata “trusted slot”, progettata per bloccare le comunicazioni tra moduli non autorizzati. “La funzione trusted-slot serve a stabilire e applicare criteri di sicurezza all’interno dello chassis ControlLogix, garantendo che solo gli slot autorizzati possano comunicare tra loro, proteggendo così da accessi non autorizzati e potenziali manomissioni,” spiegano i ricercatori.
I moduli comunicano tramite il backplane, un circuito stampato che facilita lo scambio di informazioni tra il controller e i moduli di I/O. I ricercatori sono riusciti a creare un pacchetto CIP che ha bypassato il controllo di sicurezza, permettendo così di inviare comandi alla CPU da una rete non sicura. Questo consente agli attaccanti di modificare la configurazione del dispositivo ed eseguire comandi di download, upload e aggiornamento sulla CPU.
Rockwell Automation ha rilasciato un fix per la vulnerabilità e raccomanda agli utenti di aggiornare i dispositivi il prima possibile. La vulnerabilità non riguarda solo i device ControlLogix, ma anche i GuardLogic 5580 e altri Moduli 1756 ControlLogix I/O. Per chi non può aggiornare immediatamente il firmware, si consiglia di limitare l’esecuzione di comandi CIP sui controller impostando lo switch in posizione RUN.
https://www.securityinfo.it/2024/08/06/rockwell-automation-vulnerabilita-accesso-non-autorizzato/