概述

罗克韦尔自动化公司已在其PLC-5和SLC 5/0x系列可编程控制器的某些版本的编程和配置客户端软件认证机制中发现一个安全漏洞。

受影响的产品

罗克韦尔PLC-5和SLC 5/0x控制器受到影响，包括以下目录号：1785-Lx和1747-L5x。为这些设备服务的编程和配置客户端软件RSLogix同样受此漏洞影响。有关受影响产品和固件版本的完整列表，请参阅罗克韦尔的技术说明。

影响

全球范围内安装了大量的PLC-5和SLC 500设备。成功利用这些漏洞可能会暴露控制器的访问控制密码，并允许对控制器进行未经授权的编程。对单个组织的影响取决于许多该组织特有的因素。 ICS-CERT建议各组织根据其自身环境、架构和产品实施方案来评估此漏洞的影响。

背景

罗克韦尔PLC-5和SLC 5/0x控制器在全球范围内用于各种过程控制环境。这些PLC可用于集中控制系统和远程安装，包括远程通信和控制，以实现水/废水处理设施的SCADA解决方案。

漏洞特征描述

漏洞概述 已识别出以下两个漏洞：

1. 存在暴露用于限制对控制器进行未授权访问的产品密码的可能性。为暴露密码，攻击者需要直接访问产品或控制器与配置软件之间的控制系统通信链路。攻击者随后可以拦截并破译产品密码，并利用它来模拟客户端软件的角色，以获取对产品的未授权访问。
2. 存在未经授权的编程和配置客户端获得对产品的访问权限并允许更改产品配置或程序的可能性。能够直接访问产品或控制器与配置软件之间的控制系统通信链路的攻击者，可以模拟受信任软件客户端的角色，并可能对产品进行未经授权的更改。

漏洞详情 可被利用性 攻击者可以利用这些漏洞以：

• 导致拒绝服务。
• 以提升的特权获得对产品的未授权访问。
• 可能利用这些漏洞尝试在控制系统网络的其他地方寻找更多漏洞。

漏洞利用的存在情况 目前尚未发现专门针对这些漏洞的已知利用。

利用难度 研究表明，熟练的攻击者可以轻松利用这些漏洞；但是，成功利用需要访问控制系统网络。

缓解措施

为帮助降低被利用的可能性和相关的安全风险，罗克韦尔自动化建议立即采取以下缓解策略（注意：建议同时采用多种策略）：

1. 对于PLC-5控制器，通过RSLogix 5配置软件启用并配置“密码和权限”，以限制对关键数据的访问并提高整体密码安全性。
2. 在适用情况下，将产品固件升级到包含与罗克韦尔自动化FactoryTalk安全服务兼容的增强安全功能的版本。可通过RSLogix 5或RSLogix 500软件启用此功能。
3. 使用最新版本的RSLogix 5或RSLogix 500配置软件并启用FactoryTalk安全服务。
4. 在可能的情况下，通过将控制器的钥匙开关置于RUN模式，禁用通过网络对控制器进行远程编程和配置的功能。
5. 对于SLC控制器，对所有关键数据表文件启用静态保护，以防止对关键数据进行任何远程数据更改。
6. 在系统设计中采用分层安全和深度防御方法，以限制和控制对单个产品和控制网络的访问。
7. 使用适当的安全技术，通过限制或阻止访问TCP和UDP端口2222及端口44818，阻止从制造区域外部到CSP、EtherNet/IP或其他基于CIP协议的设备的所有流量。
8. 限制对自动化产品、网络和系统的物理和电子访问，仅允许授权对控制系统设备进行更改的人员访问。
9. 频繁更改产品密码并使先前使用的密码作废，以减少产品密码被知晓所带来的威胁风险。