罗克韦尔PLC被曝漏洞 攻击者可远程更改设置或修改设备固件
E安全8月17日讯 罗克韦尔自动化公司(Rockwell Automation)的MicroLogix 1400可编程逻辑控制器(PLC)存在无证SNMP“社区字符串”(community string),攻击者加以利用可以远程更改设置或修改设备固件,从而劫持PLC。
思科Talos研究人员Patrick DeSantis在版本7到15.004 PLC系统中发现该漏洞。受影响产品如下:
1766-L32BWA
1766-L32AWA
1766-L32BXB
1766-L32BWAA
1766-L32AWAA
1766-L32BXBA
受影响的PLC用于一般工业机械、HVAC(供热、通风与空调系统)/楼宇自动化、SCADA(监测控制与数据采集)、商业机器等。
美国工控系统网络应急响应小组(ICS-CERT)指出,该漏洞可能被低技能的攻击者加以利用,但是目前未发现已知的特别针对此漏洞的公开利用情况。
ICS-CERT解释道,“SNMP是许多类型的基于产品互联网协议使用的标准协议,具备集中和远程设备管理功能。其中一个标准SNMP功能允许用户管理产品的固 件,包括更新产品固件的功能。MicroLogix 1400利用标准的SNMP功能作为更新产品固件的官方机制。”
罗克韦尔自动化公司已得知问题的存在,但遗憾的是无法将此功能从产品移除。
因此,建议运营商将风险降到最小化,比如利用适当的网络基础设施控制阻止来自未经授权源的SNMP请求,并使用产品的“RUN(运行)”按键开关设置防止未经授权的固件更新操作。
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。