Η Rockwell προειδοποιεί για νέα εκμετάλλευση του APT RCE που στοχεύει υποδομές ζωτικής σημασίας

On

Ιούλ 14, 2023

Η Rockwell Automation λέει ότι μια νέα εκμετάλλευση απομακρυσμένης εκτέλεσης κώδικα (RCE) που συνδέεται με μια ανώνυμη ομάδα Advanced Persistent Threat (APT) θα μπορούσε να χρησιμοποιηθεί για τη στόχευση μη επιδιορθωμένων μονάδων επικοινωνίας ControlLogix που χρησιμοποιούνται συνήθως σε βιομηχανίες παραγωγής, ηλεκτρικής ενέργειας, πετρελαίου και φυσικού αερίου και υγροποιημένου φυσικού αερίου.

Η εταιρεία συνεργάστηκε με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) για να αναλύσει το exploit που συνδέεται με τους παράγοντες απειλής APT, αλλά δεν έχουν ακόμη κοινοποιηθεί πώς το απέκτησαν.

“Η Rockwell Automation, σε συντονισμό με την κυβέρνηση των ΗΠΑ, ανέλυσε μια νέα ικανότητα εκμετάλλευσης που αποδίδεται σε παράγοντες Advance Persistent Threat (APT) που επηρεάζουν επιλεγμένες μονάδες επικοινωνίας”, η εταιρεία

είπε σε μια συμβουλευτική για την ασφάλεια

προσβάσιμο μόνο μετά τη σύνδεση.

«Δεν γνωρίζουμε την τρέχουσα εκμετάλλευση που εκμεταλλεύεται αυτήν την ικανότητα και η επιδιωκόμενη θυματοποίηση παραμένει ασαφής».

Η στοχευμένη ευπάθεια (που παρακολουθείται ως CVE-

2023

-3595) προκαλείται από μια αδυναμία εγγραφής εκτός ορίων που μπορεί να επιτρέψει στους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα ή να ενεργοποιήσουν καταστάσεις άρνησης υπηρεσίας μέσω κακόβουλα δημιουργημένων μηνυμάτων CIP.

Μετά την επιτυχή εκμετάλλευση, οι κακόβουλοι παράγοντες θα μπορούσαν επίσης να χειριστούν το υλικολογισμικό της μονάδας, να σκουπίσουν τη μνήμη της μονάδας, να αλλάξουν την κυκλοφορία δεδομένων προς και από τη μονάδα, να δημιουργήσουν μόνιμο έλεγχο και ενδεχομένως να επηρεάσουν τη βιομηχανική διαδικασία που υποστηρίζει.

“Αυτό θα μπορούσε να οδηγήσει σε καταστροφικές ενέργειες όπου εγκαθίστανται ευάλωτες μονάδες, συμπεριλαμβανομένης της κρίσιμης υποδομής”, πρόσθεσε ο Rockwell.

Οι πελάτες προτρέπονται να επιδιορθώσουν όλα τα επηρεαζόμενα προϊόντα

Η Rockwell συμβουλεύει ανεπιφύλακτα την εφαρμογή των ενημερώσεων κώδικα ασφαλείας που κυκλοφόρησε για όλα τα επηρεαζόμενα προϊόντα (συμπεριλαμβανομένων εκείνων που δεν υποστηρίζονται). Παρέχει επίσης κανόνες ανίχνευσης για να βοηθήσει τους υπερασπιστές να εντοπίσουν απόπειρες εκμετάλλευσης μέσα στα δίκτυά τους.

CISA επίσης

δημοσίευσε μια συμβουλευτική

προειδοποιώντας τους πελάτες της Rockwell να επιδιορθώσουν την κρίσιμη ευπάθεια RCE για να αποτρέψουν πιθανές εισερχόμενες επιθέσεις.

“Η γνώση μιας ευπάθειας που ανήκει στην APT πριν από την εκμετάλλευση είναι μια σπάνια ευκαιρία για προληπτική άμυνα για κρίσιμους βιομηχανικούς τομείς.”

είπε

βιομηχανική εταιρεία κυβερνοασφάλειας Dragos, η οποία ανέλυσε επίσης την εκμετάλλευση του APT.

“Γνωρίζουμε ότι υπάρχει ένα exploit που ανήκει σε ένα άγνωστο APT και δεν έχουμε δει ούτε γνωρίζουμε καμία εκμετάλλευση στην άγρια φύση”, δήλωσε ο Dragos Senior Threat Analyst Kevin Woolf στο BleepingComputer.

Σύμφωνα με τον Dragos, το επίπεδο πρόσβασης που διευκολύνεται από την ευπάθεια CVE-2023-3595 είναι παρόμοιο με το zero-day που εκμεταλλεύεται το συνδεδεμένο με τη Ρωσία

XENOTIME

ομάδα απειλών, η οποία χρησιμοποίησε καταστροφικό κακόβουλο λογισμικό TRISIS (γνωστός και ως TRITON) εναντίον εξοπλισμού

Schneider Electric

Triconex ICS σε επιθέσεις του 2017.

«Η κυβερνοδραστηριότητα προηγούμενων απειλών που αφορούσαν βιομηχανικά συστήματα υποδηλώνει μεγάλη πιθανότητα ότι αυτές οι δυνατότητες αναπτύχθηκαν με σκοπό να στοχεύσουν κρίσιμες υποδομές και ότι το εύρος των θυμάτων θα μπορούσε να περιλαμβάνει διεθνείς πελάτες», προειδοποίησε επίσης η Rockwell.

“Η δραστηριότητα απειλής υπόκειται σε αλλαγές και οι πελάτες που χρησιμοποιούν προϊόντα που επηρεάζονται ενδέχεται να αντιμετωπίσουν σοβαρό κίνδυνο εάν εκτεθούν.”

bleepingcomputer.com