網絡研究人員在一個驗證羅克韋爾自動化PLC和工程軟件之間通信的機制中發現了一個“嚴重”的漏洞。利用此漏洞，攻擊者可以遠程連接到羅克韋爾幾乎所有的Logix PLC可編程控制器上，使用Logix技術的驅動器和安全控制器，上傳惡意代碼、從PLC下載信息或安裝新固件。

美國政府網絡安全和基礎設施安全局（Cisa）警告稱，攻擊者可能會遠程利用該漏洞。使用CVSS（通用漏洞評分系統）評級方案，Cisa將漏洞評分定為10分：最高登記。

2019年，韓國克拉洛蒂大學、卡巴斯基大學和宋春陽大學的網絡研究人員共同獨立發現了這一漏洞。通常在這種情況下，他們警告羅克韋爾自動化方面的相關漏洞，讓它采取適當的補救行動。這一發現已通過Cisa發布的ICS Cert公告發布。

該漏洞影響羅克韋爾的Studio 5000 Logix Designer（版本21及更高版本）和RSLogix 5000（版本16-20）工程軟件，以及許多Logix控制器，包括CompactLogix、ControlLogix、DriveLogix、GuardLogix和SoftLogix型號。

該漏洞的存在是因為軟件使用密鑰驗證與Logix控制器的通信。未經驗證的遠程攻擊者可以繞過此驗證機制，直接連接到控制器上。

提取密鑰的攻擊者可以登陸任何Rockwell Logix控制器進行身份驗證。這些密鑰對所有與PLC的通信進行數字簽名，PLC驗證簽名并授權與軟件的通信。使用該鍵的攻擊者可以模擬工作站，從而操縱PLC上運行的配置或代碼，結果可能影響制造過程。

作為對這一發現的回應，羅克韋爾自動化公司發布了一份安全建議，描述了該漏洞如何影響Studio 5000 Logix Designer軟件和相關控制器。

最新發現的漏洞涉及羅克韋爾自動化公司的Studio 5000軟件與其Logix控制器之間的通信

它推薦了幾種可能的緩解措施，包括將控制器的模式切換到“運行”模式，以及為Logix設計器連接部署CIP安全性。正確部署后，可以防止未經授權的連接。如果無法實現運行模式，羅克韋爾建議根據受影響的Logix控制器的型號采取其他措施。

羅克韋爾還建議采取幾種通用的緩解措施，以減輕漏洞的影響，首先是網絡分割和安全控制，如盡量減少控制系統對網絡或互聯網的暴露。它說，控制系統應該在防火墻后面，在可行的情況下與其他網絡隔離。

ICS Cert咨詢包括羅克韋爾的所有緩解建議，包括針對每個產品系列和版本的建議。它還推薦了幾種檢測方法，如果用戶懷疑其配置已被修改，可以應用這些方法。

該公告稱，到目前為止，還沒有已知的針對該漏洞的公開攻擊事件。
編輯：lyn