Dwie luki w przemysłowych programowalnych sterownikach logicznych (PLC) od Rockwell Automation zagrażać infrastrukturze krytycznej i środowiskom przemysłowym zakłóceniami.
Obie te luki znajdują się w modułach komunikacyjnych sterowników PLC, które służą do fizycznego sterowania urządzeniami technologii operacyjnej i mogą zostać wyzwolone poprzez złośliwe komunikaty wspólnego protokołu przemysłowego (CIP).
Pierwszym z nich jest krytyczny błąd CVE-2023-3595 (wynik CVSS 9.8 na 10), który umożliwia podmiotom zagrażającym wykorzystanie pamięci oprogramowania sprzętowego, trwałe zdalne wykonanie kodu (RCE) oraz modyfikowanie, odrzucanie lub nawet wycofywać dane przepływające przez sterownik PLC, wpływając w ten sposób na wydajność sprzętu. Drugiego, CVE-2023-3596 (CVSS 7.5), można użyć do wywołania stanu odmowy usługi (DoS), który uniemożliwiłby działanie urządzenia.
It’s also possible for cyberattackers to plant themselves inside a PLC and lurk undetected until they choose to carry out an attack. “In both cases, there exists the potential to corrupt the information used for incident response and recovery,” – twierdzą eksperci z Dragos. “The attacker could potentially overwrite any part of the system to hide themselves and stay persistent, or the interfaces used to collect incident response or forensics information could be intercepted by malware to avoid detection.”
Moduły komunikacyjne, które obecnie są podatne na ataki, są używane przez różne organizacje z różnych branż, w tym z branży energetycznej i transportowej, dlatego organizacje powinny jak najszybciej zastosować poprawki. Firma Rockwell dostarczyła poprawki do wszystkich produktów, których dotyczy problem, nawet sprzętu, który nie był objęty wsparciem technicznym.
Użytkownicy mogą znaleźć listę produktów, których dotyczy problem CISA i Rockwell Automation porady, wraz z poradami dotyczącymi łagodzenia skutków i wykrywania.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/ics-ot/critical-rce-vulnerability-rockwell-automation-plc-industrial
- :ma
- :Jest
- $W GÓRĘ
- 10
- 7
- 8
- 9
- a
- aktorzy
- Rada
- wpływający
- Wszystkie kategorie
- pozwala
- wzdłuż
- również
- an
- i
- każdy
- Aplikuj
- SĄ
- AS
- At
- atakować
- Automatyzacja
- uniknąć
- BE
- być
- jest
- obie
- naruszenie
- Bug
- by
- CAN
- zdolny
- nieść
- Etui
- Dodaj
- CISA
- kod
- zbierać
- wspólny
- Komunikacja
- Komunikacja
- warunek
- kontrola
- mógłby
- krytyczny
- Infrastruktura krytyczna
- Bezpieczeństwo cybernetyczne
- codziennie
- dane
- naruszenie danych
- dostarczona
- Wykrywanie
- urządzenie
- różne
- Zakłócenie
- DOS
- wschodzących
- energia
- środowiska
- sprzęt
- Eter (ETH)
- Parzyste
- egzekucja
- istnieje
- eksperci
- Znajdź
- i terminów, a
- Przepływy
- W razie zamówieenia projektu
- kryminalistyki
- od
- sprzęt komputerowy
- Have
- Ukryj
- HTTPS
- ICS
- in
- incydent
- reakcja na incydent
- Włącznie z
- przemysłowy
- przemysłowa
- Informacja
- Infrastruktura
- wewnątrz
- interfejsy
- jpg
- firmy
- Lista
- usytuowany
- logika
- malware
- Pamięć
- wiadomości
- łagodzenie
- modyfikować
- Moduły
- MPL
- of
- operacyjny
- or
- organizacji
- na zewnątrz
- część
- Łatki
- jest gwarancją najlepszej jakości, które mogą dostarczyć Ci Twoje monitory,
- uporczywość
- Fizycznie
- plato
- Analiza danych Platona
- PlatoDane
- PLC
- możliwy
- potencjał
- potencjalnie
- Produkty
- protokół
- pod warunkiem,
- regeneracja
- zdalny
- odpowiedź
- prawo
- s
- wynik
- druga
- powinien
- Wkrótce
- pobyt
- subskrybuj
- wsparcie
- system
- Technologia
- że
- Połączenia
- Informacje
- sami
- Tam.
- Te
- one
- groźba
- podmioty grożące
- grozić
- zagrożenia
- Przez
- do
- transport
- Trendy
- wyzwalać
- rozsierdzony
- aż do
- używany
- wykorzystać
- różnorodny
- Luki w zabezpieczeniach
- wrażliwość
- tygodniowy
- w
- wycofać
- by
- Twój
- zefirnet