上週工業控制自動化設備業者Rockwell Automation提出警告,由於全球世界各地的地緣政治緊張局勢,導致敵對性的網路攻擊加劇,他們呼籲用戶應立刻採取行動,清查與網際網路連接的設備,並表明這些設備的設計並未因應公開存取的運用方式,應切斷與網際網路之間的連線。

雖然他們並未透露攻擊行動的相關細節,但該公司也向IT人員呼籲提高資安警覺,若要了解這些工控設備暴露在公開的網際網路所面臨的網路攻擊,可研讀美國網路安全暨基礎設施安全局(CISA)發布資安公告的7項已知漏洞,並在情況許可的情況下採取緩解措施。

這些在公告中提及的漏洞,影響Logix控制器及設計器、特定的通訊模組,以及自動化服務平臺FactoryTalk、人機介面軟體FactoryTalk View ME。

其中,最危險的是Logix控制器帳密保護不足漏洞CVE-2021-22681,這項3年前公布的漏洞,影響Studio 5000 Logix Designer、RSLogix 5000,以及17款Logix控制器,CVSS風險評分達到10分。一旦攻擊者成功觸發漏洞,就有機會在未經身分驗證的情況下,遠端存取控制器。此外,攻擊者也可能透過未經授權的第三方工具,竄改控制器配置,或是應用程式的程式碼。

另一個存在於通訊模組的記憶體越界寫入漏洞CVE-2023-3595,也相當值得留意,攻擊者可藉由傳送惡意的CIP訊息觸發,從而發動遠端程式碼執行(RCE)攻擊,並能在受害系統持續活動,CVSS風險評為9.8,共有25種型號的模組可能受到這項漏洞影響。

其餘的漏洞,大多存在於FactoryTalk,當中的重大等級漏洞CVE-2024-21917、CVE-2024-21915也相當危險。

CVE-2024-21917與加密簽章缺乏適當驗證有關,攻擊者有可能藉此取得用於服務的Token,並將其用於存取另一個FactoryTalk服務平臺的資料夾,而藉機取得使用戶資訊,或是竄改組態設定,過程無需通過身分驗證,CVSS風險評為9.8分。

另一個漏洞CVE-2024-21915,則是與執行權限分配有關,一旦遭到利用,攻擊者在取得基礎用戶群組權限的情況下,就有機會登入特定軟體並取得管理員群組的權限,CVSS風險評為9.0分。

熱門新聞

Advertisement