4月2日訊 思科 Talos 團隊3月28日發(fā)博文指出，羅克韋爾 Allen-Bradley MicroLogix 1400 可編程邏輯控制器（PLC）中存在多個嚴重的漏洞，這些漏洞可用來發(fā)起 DoS 攻擊，修改設備的配置和梯形邏輯，寫入或刪除其內存模塊上的數(shù)據。

可編程邏輯控制器（PLC）：

常用于控制工業(yè)中的自動化系統(tǒng)。它們是最先進和最簡單的控制系統(tǒng)之一，現(xiàn)在正在大規(guī)模地取代硬連線邏輯繼電器。MicroLogix 系列 PLC 在全球范圍內被廣泛應用于關鍵基礎設施、食品生產業(yè)、農業(yè)以及污水處理等行業(yè)的工業(yè)控制系統(tǒng)（ICS）。

經思科測試確認，以下版本受到影響：

Allen-Bradley Micrologix 1400 Series B FRN 21.003

Allen-Bradley Micrologix 1400 Series B FRN 21.002

Allen-Bradley Micrologix 1400 Series B FRN 21.0

Allen-Bradley Micrologix 1400 Series B FRN 15

漏洞情況

最嚴重為訪問控制漏洞， CVSS 評分為10分。未經授權的遠程攻擊者可利用這些漏洞發(fā)送特制的數(shù)據包獲取敏感信息，更改設備設置或梯形邏輯。

雖然利用其中某些漏洞要求 PLC 的開關處于“遙控”（REMOTE）或“編程”（PROG）狀態(tài)，但無論開關設置如何，讀取主密碼和主梯形邏輯就能加以利用。

另一個潛在的嚴重漏洞為CVE-2017-12088，允許遠程攻擊者向以太網端口發(fā)送特制的數(shù)據包，從而讓控制器進入故障狀態(tài)，并潛在刪除梯形邏輯。

DoS 漏洞還存在于設備的程序下載和固件更新功能中，這些漏洞被歸為“中?！甭┒?。其它不太嚴重的漏洞包括：

影響內存模塊的文件寫入漏洞；

與會話連接功能有關的DoS漏洞。對于這個會話通信漏洞，羅克韋爾表示，系統(tǒng)實際上會按預期運行，不需要任何補丁或緩解措施。

羅克韋爾已發(fā)布固件更新來解決其中部分漏洞，并提出了一系列緩解措施，例如將開關設置為“Hard Run”即可防止未經授權的更改行為，并禁用受影響的服務。

思科已發(fā)布技術細節(jié)和 PoC 代碼。羅克韋爾自動化也發(fā)布了公告，但只有注冊用戶才能訪問。

由于這些設備常部署用以支持關鍵工業(yè)控制流程，一旦被利用可能會帶來嚴重的損害。思科的研究人員建議使用受影響設備的組織機構將固件升級到最新版本。

MicroLogix 1400多次曝出漏洞

此次并非 MicroLogix 1400 PLC 首次被曝漏洞。2016年，思科 Talos 團隊就報告稱，這一系列設備中存在漏洞，可能會被利用修改設備上的固件。

2018年1月，美國阿拉巴馬大學亨茨維爾分校某安全專家發(fā)現(xiàn)多種運行固件版本（21.002及更早版本的B系列和C系列）MicroLogix 1400 PLC 存在安全漏洞CVE-2017-16740，CVSS評分為8.6。這是一個基于堆棧的緩沖區(qū)溢出漏洞，可以通過特制的 Modbus TCP 數(shù)據包發(fā)送到受影響的設備進行觸發(fā)，允許攻擊者遠程執(zhí)行任意代碼。但羅克韋爾自動化早在2017年12月份發(fā)布了針對B系列和C系列硬件的固件版本21.003，以修復該漏洞。當時這個漏洞還影響1766-L32AWA、1766-L32AWAA、1766-L32BWA、1766-L32BWAA、1766-L32BXB和1766-L32BXBA系列產品。

建議用戶應盡量避免將控制系統(tǒng)設備以及相關系統(tǒng)暴露在互聯(lián)網中，確保不能通過互聯(lián)網直接訪問，必要時可使用虛擬專用網絡（VPN）。