ICS特定备份解决方案中的漏洞开放工业设施攻击

Claroty. 研究人员发现并私下披露了影响的九个漏洞 罗克韦尔自动化'FartraptTalk AssetCentre,特定于ICS的备份解决方案。

所有漏洞已被分配最大(10.0)CVSS V3基本得分,并且通过链接其中一些,攻击者可以拥有设施的整个操作技术(OT)网络,以及在服务器代理和可编程逻辑等自动化设备上运行命令控制器(PLC),他们警告。

漏洞特定于ICS备份

ICS特定备份解决方案的重要意义

罗克韦尔自动化的FactoryTalk AssetCentre是一种集中式工具,可在工业设施中保护,管理,版本,跟踪和报告自动化相关资产信息。

AssetCentre解决方案由主服务器,MS-SQL Server数据库,客户端和在工程工作站上运行的远程软件代理组成。服务器向代理发送命令,代理将它们发送到自动化设备。然后将项目文件更新并发送回服务器。

“操作员可以执行备份和恢复,以及用于在工厂楼层上运行的所有PLC的AssetCentre的版本控制功能,例如,” the researchers 解释.

“特定于FactoryTalk AssetCentre等ICS的备份解决方案是在例如目标赎金软件攻击时启用快速灾难恢复的关键元素。在停机时间不可接受的行业中,特别是在公共安全可能影响的地方,组织必须具有可靠的备份。”

发现的脆弱性

发现了三个发现的缺陷(CVE-2021-27462,CVE-2021-27466,CVE-2021-27470)是 反序列化漏洞 这可能允许未经身份验证的攻击者在FactoryTalk AssetCentre中远程执行任意执行任意代码,并且一个(CVE-2021-27460)是一个类似的缺陷,可以允许未经身份验证的本地攻击者从FactoryTalk AssetCentre主服务器和代理机器的完全访问执行代码。

三个缺陷(CVE-2021-27472,CVE-2021-27468,CVE-2021-27464)是服务功能中的SQL注入漏洞,可以使远程未经身份验证的攻击者执行SQL语句。

剩下的两个,CVE-2021-27476是一个可能允许远程未经身份验证的攻击者将命令注入OS(即,在FactoryTalk AssetCentre中运行任意代码),并且CVE-2021-27474是由不正确的限制引起的IIS远程服务功能函数,可以允许远程,未经身份验证的攻击者修改或公开FactoryTalk AssetCentre中的敏感数据。

所有这些影响FactoryTalk Assetcentre v10及更早版本。

“罗克韦尔自动化鼓励受影响版本的FactoryTalk AssetCentre的用户更新到AssetCentre V11(或以上)以解决这些漏洞,”美国网络安全和基础设施安全局 指出.

“作为额外的缓解,罗克韦尔自动化鼓励无法升级或关注未经授权的客户端连接的用户建立在FactoryTalk AssetCentre中的安全功能。”

配置IPsec进行安全通信可以部分缓解这些缺陷,但实现更新是更有效的防御。

分享这个