羅克韋爾MicroLogix 1400 PLC曝多個高危漏洞

思科 Talos 團隊3月28日發博文指出，羅克韋爾 Allen-Bradley MicroLogix 1400 可編程邏輯控制器（PLC）中存在多個嚴重的漏洞，這些漏洞可用來發起 DoS 攻擊，修改設備的配置和梯形邏輯，寫入或刪除其內存模塊上的數據。

可編程邏輯控制器（PLC）

常用于控制工業中的自動化系統。它們是最先進和最簡單的控制系統之一，現在正在大規模地取代硬連線邏輯繼電器。MicroLogix 系列 PLC 在全球范圍內被廣泛應用于關鍵基礎設施、食品生產業、農業以及污水處理等行業的工業控制系統（ICS）。

經思科測試確認，以下版本受到影響：

Allen-Bradley Micrologix 1400 Series B FRN 21.003

Allen-Bradley Micrologix 1400 Series B FRN 21.002

Allen-Bradley Micrologix 1400 Series B FRN 21.0

Allen-Bradley Micrologix 1400 Series B FRN 15

漏洞情況

最嚴重為訪問控制漏洞， CVSS 評分為10分。未經授權的遠程攻擊者可利用這些漏洞發送特制的數據包獲取敏感信息，更改設備設置或梯形邏輯。

雖然利用其中某些漏洞要求 PLC 的開關處于“遙控”（REMOTE）或“編程”（PROG）狀態，但無論開關設置如何，讀取主密碼和主梯形邏輯就能加以利用。

另一個潛在的嚴重漏洞為 CNNVD-201804-070、CVE-2017-12088，允許遠程攻擊者向以太網端口發送特制的數據包，從而讓控制器進入故障狀態，并潛在刪除梯形邏輯。

DoS 漏洞還存在于設備的程序下載和固件更新功能中，這些漏洞被歸為“中危”漏洞。其它不太嚴重的漏洞包括：

影響內存模塊的文件寫入漏洞；

與會話連接功能有關的DoS漏洞。對于這個會話通信漏洞，羅克韋爾表示，系統實際上會按預期運行，不需要任何補丁或緩解措施。

羅克韋爾已發布固件更新來解決其中部分漏洞，并提出了一系列緩解措施，例如將開關設置為“Hard Run”即可防止未經授權的更改行為，并禁用受影響的服務。

思科已發布技術細節和 PoC 代碼。羅克韋爾自動化也發布了公告，但只有注冊用戶才能訪問。

由于這些設備常部署用以支持關鍵工業控制流程，一旦被利用可能會帶來嚴重的損害。思科的研究人員建議使用受影響設備的組織機構將固件升級到最新版本。

MicroLogix 1400多次曝出漏洞

此次并非 MicroLogix 1400 PLC 首次被曝漏洞。2016年，思科 Talos 團隊就報告稱，這一系列設備中存在漏洞，可能會被利用修改設備上的固件。

2018年1月，美國阿拉巴馬大學亨茨維爾分校某安全專家發現多種運行固件版本（21.002及更早版本的B系列和C系列）MicroLogix 1400 PLC 存在安全漏洞 CNNVD-201801-329、CVE-2017-16740，CVSS評分為8.6。這是一個基于堆棧的緩沖區溢出漏洞，可以通過特制的 Modbus TCP 數據包發送到受影響的設備進行觸發，允許攻擊者遠程執行任意代碼。但羅克韋爾自動化早在2017年12月份發布了針對B系列和C系列硬件的固件版本21.003，以修復該漏洞。當時這個漏洞還影響1766-L32AWA、1766-L32AWAA、1766-L32BWA、1766-L32BWAA、1766-L32BXB和1766-L32BXBA系列產品。

建議用戶應盡量避免將控制系統設備以及相關系統暴露在互聯網中，確保不能通過互聯網直接訪問，必要時可使用虛擬專用網絡（VPN）。

來源：E安全