紧急：Rockwell AB PLC 漏洞可能允许黑客隐藏代码，请通知客户修改漏洞。

莲花鼓王

点击上方蓝字“工控明灯”  即可关注！

一大早，刚打开电脑，明灯团队就收到来自Reddit推送的一条新闻， 新闻来自于网络安全平台Claroty。





2018年，美国工业网络安全公司 Claroty 宣布，获得 6000 万美元的 B 轮融资，投资者包括淡马锡、罗克韦尔自动化、西门子风投部门 Next 47、施耐德电气组建的风投机构 Aster Capital、Envision Ventures 等。

Claroty 成立于 2014 年，主要为关键性基础设施的工业网络提供安全防御，本轮投资方就有不少是其客户。具体来说，其业务覆盖九个细分市场，包括电力、石油和天然气、化工、水利、矿业、交通、制造业、食品和饮料、以及房地产。

Claroty 的创始团队主要来自以色列国家特种兵部队，2016 年报道显示其销售额为 2200 万美元，今年的客户数量增长了 357%，并未透露具体营收。

旧 SWITCHEROO：罗克韦尔自动化 PLC 上的隐藏代码

通过莎朗布里济诺夫 | 2022 年 3 月 31 日

执行摘要

Team82 和罗克韦尔自动化今天披露了有关罗克韦尔可编程逻辑控制器和工程工作站软件中两个漏洞的一些细节。

CVE-2022-1161 影响 Rockwell 的 Logix 控制器的多个版本，其 CVSS 得分为 10，这是最高的关键性。

CVE-2022-1159 影响其 Studio 5000 Logix Designer 应用程序的多个版本，CVSS 评分为 7.7，严重性高。

修改后的代码可以下载到 PLC，而他们工作站的工程师会看到该过程按预期运行，让人想起 Stuxnet 和 Rogue7 攻击。

罗克韦尔为用户提供了检测此类隐藏代码的工具。

敦促用户升级受影响的产品以利用这些检测功能。

CISA 已发布警告用户有关这些问题严重性的建议。

罗克韦尔自动化也在此处和此处发布了公告。

介绍

可编程逻辑控制器 (PLC) 的成功隐身攻击是最罕见、最耗时且投资大的攻击之一。Stuxnet 的作者通过找出如何隐藏在 PLC 上运行的恶意字节码来建立破解 PLC 的剧本，而对控制器进行编程的工程师只能看到他们的工程工作站上的正常情况。如果没有高级取证实用程序，就无法发现此类恶意代码的执行。

从概念上讲，利用与之前的研究相同：将字节码和文本代码解耦，修改一个，而不是另一个。例如，在对西门子 SIMATIC S7 PLC 的Rogue7攻击中，研究人员能够在将恶意字节码传输到 PLC 的同时修改文本代码。空客研究人员对施耐德电气的 PLC 进行了类似的研究和攻击，并将修改后的本机字节码传输到 PLC。

Team82 决定在罗克韦尔自动化 PLC 平台上测试这些 Stuxnet 类型的攻击。我们的研究发现了两个漏洞，这些漏洞将公司的 Logix 控制器和工程工作站的 Logix Designer 应用程序暴露给攻击者，这些攻击者可以偷偷修改自动化流程。

可编程逻辑和预定义变量驱动这些过程，对其中任何一个的更改都会改变 PLC 的正常运行及其管理的过程。具有修改 PLC 逻辑能力的攻击者可能会对工厂造成物理损坏，从而影响制造装配线的安全性、机器人设备的可靠性，或者在更戏剧性的例子中，正如我们在 Stuxnet 中看到的那样，攻击者可能会损坏离心机核设施中的铀浓缩核心。

罗克韦尔自动化今天披露了这些漏洞，并开发了一种检测二进制和文本代码差异的工具。通过使用此工具，可以检测隐藏代码。
修改 PLC 逻辑的两个新漏洞

工程工作站的核心是一个完全工作的集成开发环境 (IDE) 和 PLC 程序的编译器。从高层次的角度来看，在 PLC 上执行逻辑的过程包括四个主要步骤，如下所示：

开发：工程师将使用工程工作站的 IDE 功能以一种主要的自动化编程语言开发新的 PLC 程序，例如梯形图 (LD)、结构化文本 (ST)、功能块图 (FBD) 和其他。此代码称为文本代码。

编译：一旦开发完成，工程师将希望将新逻辑传输到控制器。为此，工程工作站将根据目标 PLC 的固件和架构将程序编译为与 PLC 兼容的字节码。该代码称为二进制代码。

传输：接下来，工程工作站将通过其专有协议与 PLC 通信并传输编译的字节码。此过程通常称为下载过程、下载逻辑或下载配置。下载术语是指PLC在这个过程中的观点（PLC下载代码）。

执行：一旦字节码成功传送到 PLC，逻辑将被执行。

在我们对罗克韦尔自动化的工程工作站 Studio 5000 Logix Designer 及其下载逻辑过程机制的研究中，我们发现了两个漏洞，这些漏洞使我们能够将文本代码与二进制代码解耦并将其传输到 PLC，同时修改一个而不是修改其他。

第一个漏洞CVE-2022-1161（CVSS v3.1 基础分数：10.0/CRITICAL）被发现在 ControlLogix、CompactLogix 和 GuardLogix 控制系统上运行的受影响 PLC 固件中。它允许攻击者将用户可读的程序代码写入与执行的编译代码不同的内存位置，从而允许攻击者修改一个而不是另一个。为此，攻击者可以使用Team82 先前披露的 Logix 控制器中的硬编码密钥漏洞与罗克韦尔自动化 PLC 通信并修改用户程序，而无需使用 Studio 5000 Logix Designer 软件。



攻击者可能会在 PLC 中隐藏代码，这些代码将在不被检测的情况下运行。

第二个漏洞CVE-2022-1159在 Studio 5000 Logix Designer 应用程序中发现，该应用程序在工作站上编译用户程序。此编译过程准备 Logix Designer 应用程序用户程序以下载到 Logix 控制器。要成功利用此漏洞，攻击者必须首先获得对运行 Studio 5000 Logix Designer 的工作站的管理员访问权限。然后攻击者可以拦截编译过程并将代码注入用户程序。用户可能不知道已经发生了这种修改。



劫持修改后的二进制代码与工程师认为在 PLC 上执行的原始代码的示例。

利用这两个漏洞的最终结果是相同的：工程师认为在 PLC 上运行的是良性代码；与此同时，PLC 上正在执行完全不同的潜在恶意代码。

对逻辑流程或预定义局部变量的更改将改变 PLC 的正常运行，并可能导致新命令被发送到物理设备，例如由 PLC 控制的皮带和阀门。

可编程逻辑驱动自动化过程，并且该逻辑对来自物理连接的变量输入和特定于过程的预定义局部变量执行操作。逻辑和变量在不同的 PLC 之间有所不同，并且每个在一个过程中都有特定的作用。

例如，在我们的概念验证中，我们修改了二进制代码以悄悄地将某些自动化流程变量（也称为标签）修改为不同的值。在现实生活中，这些更改的值可能会对自动化过程造成极大的损害（例如，控制引擎速度的标签）。



我们的 PoC 表明，虽然工程工作站显示良性代码，但在 PLC 上运行的实际代码是不同的，并且会悄悄地改变一些标签的值。

检测和缓解

Team82 与罗克韦尔自动化工程师密切合作，了解这些攻击的根本原因。因此，罗克韦尔工程师提出了复杂的解决方案，通过分析和比较 PLC 上运行的文本代码和二进制代码来检测运行在其 PLC 上的隐藏代码。如果检测到不匹配，该工具将提醒两者之间的差异，表明隐藏代码正在 PLC 上运行，如下图所示。



为了利用这些检测功能，资产所有者被指示升级到：

Studio 5000 V34 或更高版本

Logix 5580、5380、5480、GuardLogix 5580 和 Compact GuardLogix 5380 控制器固件的对应版本

以下比较工具之一：


Logix Designer 应用程序 Compare Tool V9 或更高版本，随 Studio 5000 Logix Designer 一起安装

FactoryTalk AssetCentre V12 或更高版本（2022 年秋季上市）

其他检测和缓解选项包括：

利用控制器日志功能

在 Logix Designer 应用程序中使用变更检测

在正确部署时实施 CIP 安全以帮助防止未经授权的连接

漏洞

CVE-2022-1161

CVSS V3.1 评分：10.0

受影响的产品：

1768 CompactLogix 控制器

1769 CompactLogix 控制器

CompactLogix 5370 控制器

CompactLogix 5380 控制器

CompactLogix 5480 控制器

紧凑型 GuardLogix 5370 控制器

紧凑型 GuardLogix 5380 控制器

ControlLogix 5550 控制器

ControlLogix 5560 控制器

ControlLogix 5570 控制器

ControlLogix 5580 控制器

GuardLogix 5560 控制器

GuardLogix 5570 控制器

GuardLogix 5580 控制器

FlexLogix 1794-L34 控制器

DriveLogix 5730 控制器

SoftLogix 5800 控制器

描述：能够修改用户程序的攻击者可能会更改某些 ControlLogix、CompactLogix 和 GuardLogix 控制系统上的用户程序代码。Studio 5000 Logix Designer 将用户可读的程序代码写入与执行的编译代码不同的位置，从而允许攻击者更改其中一个而不是另一个。此外，通过未经身份验证的 EtherNet/IP 版本进行通信的设备可能容易受到来自利用 CVE-2021-22681 的自定义客户端的攻击

CVE-2022-1159

CVSS v3.1 分数：7.7

受影响的产品：  Studio 5000 Logix Designer 应用程序 v28 及更高版本，以及运行这些受影响版本的以下 Logix 控制器：

ControlLogix 5580 控制器

GuardLogix 5580 控制器

CompactLogix 5380 控制器

CompactLogix 5480 控制器

紧凑型 GuardLogix 5380 控制器

说明：Studio 5000 Logix Designer 在工作站上编译用户程序。此编译过程准备 Logix Designer 应用程序用户程序以下载到 Logix 控制器。要成功利用此漏洞，攻击者必须首先获得对运行 Studio 5000 Logix Designer 的工作站的管理员访问权限。然后攻击者可以拦截编译过程并将代码注入用户程序。用户可能不知道已经发生了这种修改。

文章来自于：claroty公司

精品文章推荐

1

工业自动化大厂 停止向 俄罗斯 供货。罗克韦尔AB、ABB、西门子

2

曝光工控产品翻新-回收-- 陕西工控翻新产业，让更多人知道。厦门帮和武汉帮。

3

湖北警方破获价值200万西门子PLC模块翻新窝点。

4

西门子工业自动化集团去厦门打假，碰到施耐德。。。直播。

5

美国AB PLC(Allen-Bradley) SLC 500系列1746/1747模块，翻新揭秘！

1、分享工控行业内幕,指引我们找到方向。

2、分享工控行业产品,提高智能制造方案。

投稿邮箱 gkmd2025@protonmail.com




长按二维码
关注工控明灯              工控明灯
把光明，带给所有需要它的人；
               



右下角，您在看和点赞

小编工资涨1毛