罗克韦尔 Allen-Bradley MicroLogix 1400 可编程逻辑控制器中存在多个严重的漏洞

4月2日讯 思科 Talos 团队3月28日发博文指出，罗克韦尔 Allen-Bradley MicroLogix 1400 可编程逻辑控制器（PLC）中存在多个严重的漏洞，这些漏洞可用来发起 DoS 攻击，修改设备的配置和梯形逻辑，写入或删除其内存模块上的数据。

可编程逻辑控制器（PLC）：

常用于控制工业中的自动化系统。它们是最先进和最简单的控制系统之一，现在正在大规模地取代硬连线逻辑继电器。MicroLogix 系列 PLC 在全球范围内被广泛应用于关键基础设施、食品生产业、农业以及污水处理等行业的工业控制系统（ICS）。

经思科测试确认，以下版本受到影响：

Allen-Bradley Micrologix 1400 Series B FRN 21.003

Allen-Bradley Micrologix 1400 Series B FRN 21.002

Allen-Bradley Micrologix 1400 Series B FRN 21.0

Allen-Bradley Micrologix 1400 Series B FRN 15

漏洞情况

最严重为访问控制漏洞， CVSS 评分为10分。未经授权的远程攻击者可利用这些漏洞发送特制的数据包获取敏感信息，更改设备设置或梯形逻辑。

虽然利用其中某些漏洞要求 PLC 的开关处于“遥控”（REMOTE）或“编程”（PROG）状态，但无论开关设置如何，读取主密码和主梯形逻辑就能加以利用。

另一个潜在的严重漏洞为CVE-2017-12088，允许远程攻击者向以太网端口发送特制的数据包，从而让控制器进入故障状态，并潜在删除梯形逻辑。

DoS 漏洞还存在于设备的程序下载和固件更新功能中，这些漏洞被归为“中危”漏洞。其它不太严重的漏洞包括：

影响内存模块的文件写入漏洞；

与会话连接功能有关的DoS漏洞。对于这个会话通信漏洞，罗克韦尔表示，系统实际上会按预期运行，不需要任何补丁或缓解措施。

罗克韦尔已发布固件更新来解决其中部分漏洞，并提出了一系列缓解措施，例如将开关设置为“Hard Run”即可防止未经授权的更改行为，并禁用受影响的服务。

思科已发布技术细节和 PoC 代码。罗克韦尔自动化也发布了公告，但只有注册用户才能访问。

由于这些设备常部署用以支持关键工业控制流程，一旦被利用可能会带来严重的损害。思科的研究人员建议使用受影响设备的组织机构将固件升级到最新版本。

MicroLogix 1400多次曝出漏洞

此次并非 MicroLogix 1400 PLC 首次被曝漏洞。2016年，思科 Talos 团队就报告称，这一系列设备中存在漏洞，可能会被利用修改设备上的固件。

2018年1月，美国阿拉巴马大学亨茨维尔分校某安全专家发现多种运行固件版本（21.002及更早版本的B系列和C系列）MicroLogix 1400 PLC 存在安全漏洞CVE-2017-16740，CVSS评分为8.6。这是一个基于堆栈的缓冲区溢出漏洞，可以通过特制的 Modbus TCP 数据包发送到受影响的设备进行触发，允许攻击者远程执行任意代码。但罗克韦尔自动化早在2017年12月份发布了针对B系列和C系列硬件的固件版本21.003，以修复该漏洞。当时这个漏洞还影响1766-L32AWA、1766-L32AWAA、1766-L32BWA、1766-L32BWAA、1766-L32BXB和1766-L32BXBA系列产品。

建议用户应尽量避免将控制系统设备以及相关系统暴露在互联网中，确保不能通过互联网直接访问，必要时可使用虚拟专用网络（VPN）。