欢迎访问[政采数据]官网首页!感谢您的支持
l CVSS v3 8.1
l 注意:可远程利用
l 供应商:罗克韦尔自动化
l 设备:MicroLogix 1400
l 漏洞:缓冲区溢出
成功利用此漏洞可能导致拒绝服务状况。
罗克韦尔自动化报告该漏洞影响以下MicroLogix 1400个控制器:
l MicroLogix 1400,所有系列版本21.6及以下
远程未经身份验证的攻击者可能能够发送特制的Modbus数据包,使攻击者能够检索或修改寄存器中的随机值。如果成功利用,这可能会导致缓冲区溢出,从而导致服务被拒绝。FAULT LED将闪烁红色,并且可能会丢失通信。从拒绝服务状态中恢复需要用户清除故障。
CVE-2021-22659已分配给此漏洞。计算得出的CVSS v3基本分数为8.1;CVSS向量字符串为(AV:N / AC:H / PR:N / UI:N / S:C / C:L / I:L / A:H)。
罗克韦尔自动化建议使用受影响控制器的用户减轻风险。他们鼓励在可能的情况下,将此指南与一般安全指南相结合,以制定全面的纵深防御策略。请订阅此公告和工业安全咨询索引的更新,以随时了解最新信息。
如果适用于所有MicroLogix 1400,则所有用户都可以禁用Modbus TCP支持。如果未启用Modbus TCP,则潜在的攻击者无权使用此漏洞利用设备。
罗克韦尔自动化针对嵌入式产品建议以下基于网络的漏洞缓解措施:
利用适当的网络基础结构控件(例如防火墙)来帮助确保阻止来自未授权来源的Modbus TCP。
有关特定功能(例如,硬件按键开关设置),请查阅产品文档,该功能可用于阻止未经授权的更改等。
通过使用适当的网络基础结构控件(例如防火墙,UTM设备或其他安全设备)来阻止或限制对TCP和UDP端口2222和44818的访问,从而从制造区域之外阻止从EtherNet / IP或其他基于CIP协议的设备的所有通信。有关罗克韦尔自动化产品使用的TCP / UDP端口的更多信息,请参见知识库文章ID 898270。
罗克韦尔自动化建议以下基于软件/ PC的缓解策略:
以用户身份而不是以管理员身份运行所有软件,以最大程度地减少恶意代码对受感染系统的影响。
使用Microsoft AppLocker或其他类似的允许列表应用程序可以帮助减轻风险。有关在知识库文章ID 546989上获得有关将AppLocker与Rockwell Automation产品一起使用的信息。
确保遵循最小特权用户原则,并且仅在需要时才授予用户/服务帐户对共享资源(例如数据库)的访问权限,并且具有最小权限。
罗克韦尔自动化建议采取以下一般缓解措施:
使用受信任的软件,软件补丁,防病毒/防恶意软件程序,并且仅与受信任的网站和附件进行交互。
最小化所有控制系统设备和/或系统的网络暴露,并确保不能从Internet访问它们。有关不受保护的Internet可访问控制系统的风险的更多信息,请参阅知识库文章ID 494865。
在防火墙后面找到控制系统网络和设备,并将其与业务网络隔离。
当需要远程访问时,请使用安全方法,例如虚拟专用网络(VPN),并认识到VPN可能存在漏洞,应将其更新为可用的最新版本。还应认识到VPN仅与连接的设备一样安全。
CISA建议用户采取防御措施以最大程度地利用此漏洞。CISA提醒组织在部署防御措施之前要进行适当的影响分析和风险评估。
CISA在us-cert.cisa.gov上的ICS页面上还提供了有关控制系统安全性推荐做法的 部分。有几种推荐的做法可供阅读和下载,包括使用“纵深防御”策略提高工业控制系统的网络安全性。
其他缓解指南和建议措施可在技术信息文件ICS-TIP-12-146-01B--目标网络入侵检测和缓解策略中的us-cert.cisa.gov的ICS网页上公开获得。 观察到任何可疑恶意活动的组织应遵循其既定的内部程序,并向CISA报告其发现结果,以对其他事件进行跟踪和关联。
没有已知的公共漏洞专门针对此漏洞。需要高水平的技能才能进行开发。