Rockwell Automation ha recentemente divulgato un avviso di sicurezza riguardante una vulnerabilità critica che interessa le famiglie di prodotti ControlLogix/GuardLogix 5580 e CompactLogix/Compact GuardLogix® 5380. Questa vulnerabilità potrebbe consentire a un attaccante di eseguire un attacco di denial-of-service (DoS) inviando pacchetti appositamente creati all’oggetto CIP Security, rendendo il dispositivo inutilizzabile e richiedendo un ripristino alle impostazioni di fabbrica.
Dettagli della Vulnerabilità
- ID Consulenza sulla Sicurezza: SD1693
- Prodotti Interessati:
- ControlLogix 5580
- GuardLogix 5580
- CompactLogix 5380
- Compact GuardLogix® 5380
- Tipo di Vulnerabilità: Denial-of-Service (DoS) tramite CIP (Common Industrial Protocol)
- Data di Rilascio dell’Avviso: 12 settembre 2024
Cos’è il CIP?
Il Common Industrial Protocol (CIP) è un protocollo di comunicazione industriale ampiamente utilizzato per lo scambio di dati tra dispositivi e sistemi in ambienti di automazione. Fornisce funzionalità per il controllo, la sicurezza e la gestione delle reti industriali.
Descrizione della Vulnerabilità
La vulnerabilità sfrutta una falla nell’implementazione dell’oggetto CIP Security nei dispositivi interessati. Inviando pacchetti malformati o appositamente creati all’oggetto CIP Security, un attaccante potrebbe:
- Rendere il Dispositivo Inaccessibile: Il dispositivo smetterà di rispondere, interrompendo le operazioni.
- Richiedere un Ripristino di Fabbrica: L’unico modo per recuperare il dispositivo sarà eseguire un ripristino alle impostazioni di fabbrica, con conseguente perdita di configurazioni non salvate.
Impatto Potenziale
- Interruzione delle Operazioni Industriali: Fermare processi critici, causando downtime costosi.
- Sicurezza Compromessa: Nei sistemi GuardLogix, potrebbero essere influenzate anche le funzioni di sicurezza, aumentando i rischi operativi.
- Perdita di Dati: Possibile perdita di configurazioni e dati non salvati a causa del ripristino necessario.
Raccomandazioni di Sicurezza
Rockwell Automation consiglia ai clienti di:
- Applicare Aggiornamenti e Patch:
- Installare le ultime versioni del firmware disponibili che risolvono la vulnerabilità.
- Implementare Controlli di Rete:
- Utilizzare firewall e segmentazione di rete per limitare l’accesso ai dispositivi critici.
- Limitare il traffico solo a indirizzi IP e porte necessarie.
- Disabilitare Funzionalità Non Necessarie:
- Se possibile, disabilitare l’oggetto CIP Security se non utilizzato nelle operazioni quotidiane.
- Monitorare il Traffico di Rete:
- Implementare sistemi di rilevamento delle intrusioni (IDS) per identificare attività sospette.
- Formazione del Personale:
- Educare il team sulle best practice di sicurezza e sulla consapevolezza delle minacce.
Best Practice per la Protezione
- Segmentazione della Rete Industriale:
- Isolare i sistemi di controllo da altre reti aziendali o pubbliche.
- Gestione degli Accessi:
- Implementare autenticazione forte e controlli di accesso rigorosi.
- Piani di Risposta agli Incidenti:
- Avere procedure stabilite per rispondere rapidamente a incidenti di sicurezza.
- Backup Regolari:
- Effettuare backup periodici delle configurazioni dei dispositivi per facilitarne il ripristino.
- Aggiornamenti Programmati:
- Stabilire una routine per l’aggiornamento regolare del firmware e del software dei dispositivi.
La vulnerabilità identificata evidenzia l’importanza cruciale della sicurezza nei sistemi di automazione industriale. Gli attacchi di denial-of-service possono avere impatti significativi sulla produzione, sulla sicurezza e sulla redditività aziendale.
È essenziale che le organizzazioni che utilizzano i dispositivi ControlLogix e CompactLogix interessati prendano misure immediate per mitigare i rischi associati a questa vulnerabilità.
Per informazioni dettagliate e istruzioni specifiche, consultare il Documento di Consulenza sulla Sicurezza SD1693 sul Portale Pubblico di Consulenza sulla Sicurezza di Rockwell Automation.
JURI SANTINI
GABRIELE BONDONI
JAD NEKRACHI