Independentemente uns dos outros, especialistas da Kaspersky Lab, Sichuan University (China) e Claroty (EUA) identificaram uma vulnerabilidade perigosa nos controladores programáveis da Rockwell Automation. A vulnerabilidade com o identificador CVE-2021-22681 pontua dez entre dez na escala de ameaças CVSS. O ponto fraco era a proteção da chave criptografada embutida nos controladores, que se tornou uma ameaça direta aos sistemas de controle de produção.
A vulnerabilidade afeta virtualmente todos os controladores atuais da Rockwell Automation comercializados sob a marca Logix. São cerca de duas dezenas de dispositivos, uma lista completa dos quais pode ser encontrada, por exemplo, neste link. Todos eles, de uma forma ou de outra, são utilizados em diversos sistemas ACS TP (sistemas de controle automático de processos tecnológicos).
A extração da chave permite que um invasor altere remotamente as configurações dos controladores e carregue seu próprio código neles. A gravidade desta vulnerabilidade dificilmente pode ser superestimada. Um invasor pode estragar a produção no transportador e causar um desastre feito pelo homem se interferir no sistema de gerenciamento de uma produção perigosa.
Os pesquisadores de segurança descobriram que o acesso à chave pode ser relativamente fácil por meio do software Studio 5000 Logix Designer na estação de trabalho do engenheiro, que programa os controladores pela rede. Assim, o controlador pode ser contatado sem autenticação adicional, uma vez que a chave confirma a autoridade da estação de trabalho para se conectar. Um invasor pode simular remotamente a estação de trabalho de um engenheiro e fazer o que quiser com o software do controlador.
Rockwell foi alertado sobre a vulnerabilidade cerca de dois anos atrás. A presença da vulnerabilidade CVE-2021-22681 foi anunciada publicamente na última quinta-feira. Nenhum patch, entretanto, foi lançado. A Rockwell Automation acredita que a conformidade com as práticas básicas de segurança cibernética e a segmentação de redes operacionais mantêm as vulnerabilidades no nível mais baixo possível. “Não conecte LANs de produção à Internet” – esta é a mensagem principal do fabricante do controlador. “Mas e quanto à tendência de mudar para o trabalho remoto?” – queremos perguntar.