4月2日訊 思科 Talos 團(tuán)隊(duì)3月28日發(fā)博文指出，羅克韋爾 Allen-Bradley MicroLogix 1400 可編程邏輯控制器（PLC）中存在多個(gè)嚴(yán)重的漏洞，這些漏洞可用來(lái)發(fā)起 DoS 攻擊，修改設(shè)備的配置和梯形邏輯，寫(xiě)入或刪除其內(nèi)存模塊上的數(shù)據(jù)。

可編程邏輯控制器（PLC）：

常用于控制工業(yè)中的自動(dòng)化系統(tǒng)。它們是最先進(jìn)和最簡(jiǎn)單的控制系統(tǒng)之一，現(xiàn)在正在大規(guī)模地取代硬連線邏輯繼電器。MicroLogix 系列 PLC 在全球范圍內(nèi)被廣泛應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施、食品生產(chǎn)業(yè)、農(nóng)業(yè)以及污水處理等行業(yè)的工業(yè)控制系統(tǒng)（ICS）。

經(jīng)思科測(cè)試確認(rèn)，以下版本受到影響：

Allen-Bradley Micrologix 1400 Series B FRN 21.003

Allen-Bradley Micrologix 1400 Series B FRN 21.002

Allen-Bradley Micrologix 1400 Series B FRN 21.0

Allen-Bradley Micrologix 1400 Series B FRN 15

漏洞情況

最嚴(yán)重為訪問(wèn)控制漏洞， CVSS 評(píng)分為10分。未經(jīng)授權(quán)的遠(yuǎn)程攻擊者可利用這些漏洞發(fā)送特制的數(shù)據(jù)包獲取敏感信息，更改設(shè)備設(shè)置或梯形邏輯。

雖然利用其中某些漏洞要求 PLC 的開(kāi)關(guān)處于“遙控”（REMOTE）或“編程”（PROG）狀態(tài)，但無(wú)論開(kāi)關(guān)設(shè)置如何，讀取主密碼和主梯形邏輯就能加以利用。

另一個(gè)潛在的嚴(yán)重漏洞為CVE-2017-12088，允許遠(yuǎn)程攻擊者向以太網(wǎng)端口發(fā)送特制的數(shù)據(jù)包，從而讓控制器進(jìn)入故障狀態(tài)，并潛在刪除梯形邏輯。

DoS 漏洞還存在于設(shè)備的程序下載和固件更新功能中，這些漏洞被歸為“中?！甭┒?。其它不太嚴(yán)重的漏洞包括：

影響內(nèi)存模塊的文件寫(xiě)入漏洞；

與會(huì)話連接功能有關(guān)的DoS漏洞。對(duì)于這個(gè)會(huì)話通信漏洞，羅克韋爾表示，系統(tǒng)實(shí)際上會(huì)按預(yù)期運(yùn)行，不需要任何補(bǔ)丁或緩解措施。

羅克韋爾已發(fā)布固件更新來(lái)解決其中部分漏洞，并提出了一系列緩解措施，例如將開(kāi)關(guān)設(shè)置為“Hard Run”即可防止未經(jīng)授權(quán)的更改行為，并禁用受影響的服務(wù)。

思科已發(fā)布技術(shù)細(xì)節(jié)和 PoC 代碼。羅克韋爾自動(dòng)化也發(fā)布了公告，但只有注冊(cè)用戶才能訪問(wèn)。

由于這些設(shè)備常部署用以支持關(guān)鍵工業(yè)控制流程，一旦被利用可能會(huì)帶來(lái)嚴(yán)重的損害。思科的研究人員建議使用受影響設(shè)備的組織機(jī)構(gòu)將固件升級(jí)到最新版本。

MicroLogix 1400多次曝出漏洞

此次并非 MicroLogix 1400 PLC 首次被曝漏洞。2016年，思科 Talos 團(tuán)隊(duì)就報(bào)告稱，這一系列設(shè)備中存在漏洞，可能會(huì)被利用修改設(shè)備上的固件。

2018年1月，美國(guó)阿拉巴馬大學(xué)亨茨維爾分校某安全專家發(fā)現(xiàn)多種運(yùn)行固件版本（21.002及更早版本的B系列和C系列）MicroLogix 1400 PLC 存在安全漏洞CVE-2017-16740，CVSS評(píng)分為8.6。這是一個(gè)基于堆棧的緩沖區(qū)溢出漏洞，可以通過(guò)特制的 Modbus TCP 數(shù)據(jù)包發(fā)送到受影響的設(shè)備進(jìn)行觸發(fā)，允許攻擊者遠(yuǎn)程執(zhí)行任意代碼。但羅克韋爾自動(dòng)化早在2017年12月份發(fā)布了針對(duì)B系列和C系列硬件的固件版本21.003，以修復(fù)該漏洞。當(dāng)時(shí)這個(gè)漏洞還影響1766-L32AWA、1766-L32AWAA、1766-L32BWA、1766-L32BWAA、1766-L32BXB和1766-L32BXBA系列產(chǎn)品。

建議用戶應(yīng)盡量避免將控制系統(tǒng)設(shè)備以及相關(guān)系統(tǒng)暴露在互聯(lián)網(wǎng)中，確保不能通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)，必要時(shí)可使用虛擬專用網(wǎng)絡(luò)（VPN）。