En nuestra última edición de los blogs técnicos sobre CVE, se encargó a nuestros becarios Khanh y Dang la tarea de identificar y solucionar la vulnerabilidad CVE-2018-17924. La exhaustiva investigación en la que se basan estos blogs corre a cargo de estos estudiantes de posgrado matriculados en nuestro programa de becas OPSWAT , puesto en marcha en septiembre de 2023.
En este blog abordaremos los riesgos asociados a CVE-2018-17924, una vulnerabilidad que afecta a los controladores MicroLogix 1400 de Rockwell Automation, y cómo las soluciones OPSWATpueden ayudar a subsanarla.
¿Qué es un PLC y qué es el controlador Micrologix 1400 de Rockwell Automation?
Un PLC (controlador lógico programable) es un ordenador industrial diseñado para automatizar procesos mediante el control de maquinaria y otras operaciones industriales. Funciona en entornos hostiles y está programado para realizar tareas específicas basadas en la información recibida de los sensores. El controlador MicroLogix 1400 de Rockwell Automation es un PLC compacto y modular que se utiliza habitualmente en aplicaciones de pequeño y mediano tamaño. Conocido por su rentabilidad y flexibilidad, es compatible con diversos protocolos de comunicación y ofrece opciones de E/S digitales y analógicas para la interconexión con dispositivos.
La programación se realiza normalmente mediante el software de Rockwell Automation a través de la lógica de escalera, lo que permite a los usuarios crear secuencias de control. El MicroLogix 1400 es versátil y resulta adecuado para tareas como el control de máquinas y la automatización de procesos. Su modularidad permite a los usuarios ampliar y personalizar el sistema en función de los requisitos específicos de cada aplicación.
Acerca de CVE-2018-17924
Aspectos destacados de CVE
- Aprovechado a través de una red
- Fácil de ejecutar, no requiere privilegios especiales ni la intervención del usuario
- Tiene un grave impacto en la disponibilidad del sistema
Descripción de la vulnerabilidad (CVE)
Un agente malintencionado remoto no autenticado podría enviar una solicitud de conexión CIP a un dispositivo afectado y, una vez establecida la conexión, enviar una nueva configuración de IP al dispositivo afectado, incluso si el controlador del sistema está configurado en modo Hard RUN. Cuando el dispositivo afectado acepta esta nueva configuración de IP, se produce una pérdida de comunicación entre el dispositivo y el resto del sistema, ya que el tráfico del sistema sigue intentando comunicarse con el dispositivo a través de la dirección IP sobrescrita.
Evaluación de riesgos
Si se aprovecha esta vulnerabilidad, un atacante no autenticado podría modificar la configuración del sistema y provocar una pérdida de comunicación entre el dispositivo y el sistema.
Sectores de infraestructuras críticas
Sectores críticos: industria manufacturera, alimentación y agricultura, sistemas de transporte, sistemas de abastecimiento de agua y de tratamiento de aguas residuales
Países o zonas de despliegue
En todo el mundo
Entender los CVE y la amenaza que supone el CVE-2018-17924
En el cambiante panorama de la ciberseguridad de los sistemas de tecnología operativa (OT), es fundamental comprender las vulnerabilidades y exposiciones comunes (CVE). Las CVE son identificadores estandarizados que se asignan a vulnerabilidades conocidas y proporcionan un lenguaje común para que las organizaciones y los profesionales de la seguridad debatan, compartan y aborden los problemas de seguridad. Se documentan para garantizar que todo el personal de seguridad esté al corriente de ellas y pueda adoptar las medidas correctivas necesarias para prevenir ataques a sus sistemas.
Cada CVE incluye un identificador único, una breve descripción de la vulnerabilidad e información importante sobre su gravedad y su posible impacto.
La naturaleza única y peligrosa de CVE-2018-17924
El programa de becas OPSWATse centró en la vulnerabilidad CVE-2018-17924, que afecta a los controladores MicroLogix 1400 de Rockwell Automation. Lo que hace que esta vulnerabilidad sea especialmente peligrosa es su facilidad de explotación y el grave impacto que puede tener en los sistemas industriales.
Accesibilidad y bajo nivel de cualificación
La vulnerabilidad CVE-2018-17924 puede explotarse de forma remota con un nivel de habilidad mínimo. Esto la convierte en un arma potente en manos de atacantes con conocimientos básicos, lo que aumenta considerablemente el panorama de amenazas potenciales. La facilidad de ejecución, unida a la capacidad de afectar a los sistemas sin necesidad de privilegios especiales ni de la intervención del usuario, distingue a esta vulnerabilidad CVE en cuanto a su peligrosidad.
Grave impacto en la disponibilidad
La esencia del peligro radica en su potencial para alterar la disponibilidad de sistemas industriales críticos, en particular aquellos que utilizan controladores MicroLogix 1400 de Rockwell Automation. La gravedad se debe a que puede ser explotada de forma remota, lo que la pone al alcance de una amplia gama de posibles actores maliciosos. Al manipular la configuración IP del dispositivo afectado, un atacante no autenticado puede provocar una pérdida de comunicación entre el dispositivo y el sistema en general.
En sectores como la industria manufacturera, la agricultura, el transporte y los sistemas de abastecimiento de agua, donde la continuidad de las operaciones es fundamental y cualquier interrupción resulta desastrosa, las consecuencias pueden ser graves. El ataque permite a un atacante no autenticado enviar una solicitud de conexión CIP, lo que provoca un cambio en la configuración de la IP. En consecuencia, el sistema sigue comunicándose con el dispositivo utilizando la dirección IP sobrescrita, lo que da lugar a una interrupción significativa del flujo normal de operaciones. Esta pérdida de comunicación podría tener consecuencias de gran alcance, entre ellas retrasos en la producción, riesgos para la seguridad y enormes pérdidas económicas.
Dificultades en la mitigación
La mitigación de los riesgos asociados a CVE-2018-17924 plantea varios retos. Es posible que las medidas de seguridad tradicionales no sean suficientes debido a esta vulnerabilidad. La posibilidad de explotar la falla de forma remota, sin necesidad de privilegios especiales ni de la intervención del usuario, complica la tarea de proteger los sistemas de manera eficaz.
Ejecución del proyecto: recreación del CVE — Una visión del peligro
Para poner de manifiesto las consecuencias prácticas de la vulnerabilidad CVE-2018-17924, el equipo OPSWAT recreó minuciosamente el escenario. Dividido en fases, el proyecto hizo hincapié en la sencillez del exploit, destacando que no se requerían privilegios especiales ni la intervención del usuario, así como el consiguiente impacto en la disponibilidad del sistema.
La metodología de ataque
Paso 1
Enviar una solicitud de conexión al PLC a través de Ethernet/IP y esperar la respuesta de la sesión
Como se puede ver a continuación, el valor del paquete se envía con el valor del encabezado de comando en 0x65 para registrar la sesión
Esta es la sesión obtenida tras enviar la solicitud; las direcciones IP indicadas son: DST: 192.168.93.99, SRC: 192.168.93.130
A continuación, se lleva a cabo la transferencia del paquete de solicitud encapsulado con el código de comando 0x6f
Como se puede ver en la imagen siguiente, la dirección IP de destino ha cambiado de 192.168.93.99 a 192.168.93.90
La contribución OPSWAT: visibilidad y prevención gracias a MetaDefender OT Security MetaDefender Industrial Firewall
MetaDefender OT Security
De OPSWATMetaDefender OT Securitydesempeña un papel fundamental en la mitigación de los riesgos asociados al CVE-2018-17924. Sus capacidades van más allá de las medidas de seguridad tradicionales, ofreciendo una visión integral de los entornos industriales. Gracias a su función de visibilidad de activos, MetaDefender OT Security vulnerabilidades y posibles ataques, proporcionando una capa de defensa fundamental contra exploits como el descrito en el CVE.
Características y funciones principales
Advanced Threat Detection
MetaDefender OT Security mecanismos avanzados de detección de amenazas para identificar posibles riesgos antes de que puedan afectar al sistema.
Supervisión en tiempo real
La solución supervisa constantemente la actividad de la red, identificando rápidamente comportamientos anómalos y posibles brechas de seguridad.
Protección personalizada
MetaDefender OT Security diseñado teniendo en cuenta los protocolos industriales y ofrece una protección a medida contra las amenazas específicas de los entornos de tecnología operativa.
MetaDefender Industrial Firewall
De OPSWATMetaDefender Industrial FirewallOT Security OPSWAT complementa MetaDefender OT Security una capa adicional de defensa contra los ataques. Esta solución se centra específicamente en la detección y prevención de posibles vulnerabilidades en sistemas industriales críticos. Lo hace aislando las redes del sistema y evitando así que el ataque afecte a cualquiera de los activos o sistemas de la red.
Características y funciones principales
Detección de intrusiones
Firewall Industrial MetaDefender detectaFirewall posibles intrusiones y avisa de ellas, proporcionando a los operadores información oportuna para que puedan responder con eficacia.
Medidas preventivas
La solución va más allá de la detección, ya que aplica medidas preventivas para detener los ataques de raíz y proteger las infraestructuras críticas.
Capacidades de integración
Firewall Industrial MetaDefender se integraFirewall con los sistemas de control industrial existentes, lo que garantiza una interrupción mínima durante la implementación.
Referencia
- 1766-RM001J-EN-P Manual de referencia de los controladores programables MicroLogix 1400 (rockwellautomation.com)
- 8500747 Introducción a EtherNet/IP (acromag.com)
- doi:10.1016/j.diin.2017.06.012 (dfrws.org)
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0441
- Controladores MicroLogix 1400 y módulos de comunicaciones ControlLogix 1756 de Rockwell Automation | CISA
- POC de Shiliangang
