Um grupo não identificado de ameaça persistente avançada (APT) está de olho em duas vulnerabilidades de produtos da Rockwell Automation que podem ser usadas para causar interrupção ou destruição em organizações de infraestrutura crítica.
De acordo com o seu consultivo (acessível apenas para usuários registrados), a Rockwell trabalhou com o governo dos EUA para analisar o que ele descreve como uma nova capacidade de exploração que aproveita as vulnerabilidades nos módulos de comunicação ControlLogix EtherNet/IP.
Especificamente, os produtos 1756 EN2 e 1756 EN3 são afetados pelo CVE-2023-3595, uma falha crítica que pode permitir que um invasor obtenha a execução remota de código com persistência no sistema de destino usando mensagens CIP (Common Industrial Protocol) especialmente criadas. Um agente de ameaça pode explorar a vulnerabilidade para modificar, bloquear ou exfiltrar dados que passam por um dispositivo.
Os produtos 1756-EN4 são afetados pelo CVE-2023-3596, um bug de negação de serviço (DoS) de alta gravidade que pode ser explorado usando mensagens CIP especialmente criadas.
A Rockwell Automation lançou patches de firmware para cada produto afetado e compartilhou indicadores potenciais de comprometimento (IoCs), bem como regras de detecção.
“Não temos conhecimento da exploração atual que alavanca essa capacidade, e a vitimização pretendida ainda não está clara”, disse Rockwell. “A ciberatividade dos atores de ameaças anteriores envolvendo sistemas industriais sugere uma alta probabilidade de que esses recursos foram desenvolvidos com a intenção de atingir a infraestrutura crítica e que o escopo da vítima pode incluir clientes internacionais. A atividade de ameaças está sujeita a mudanças e os clientes que usam produtos afetados podem enfrentar sérios riscos se expostos”.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), que ajudou a Rockwell a investigar as explorações, também divulgou um consultivo para alertar as organizações sobre as vulnerabilidades.
A empresa industrial de segurança cibernética Dragos também analisou as vulnerabilidades e o exploitalertando que poderia — dependendo da configuração do dispositivo ControlLogix visado — permitir que invasores causem “negação ou perda de controle, negação ou perda de visão, roubo de dados operacionais ou manipulação de controle para consequências disruptivas ou destrutivas no processo industrial para qual o sistema ControlLogix é responsável”.
Dragos disse que a capacidade de exploração parece ser obra de um APT não identificado, mas a empresa não encontrou nenhuma evidência de exploração na natureza até o momento e não está claro quais organizações ou setores podem ser visados.
No entanto, a empresa comparou o tipo de acesso fornecido pelo CVE-2023-3595 à falha de dia zero alavancada por um grupo patrocinado pelo estado vinculado à Rússia em ataques envolvendo o malware Trisis/Triton.
“Ambos permitem a manipulação arbitrária da memória do firmware, embora o CVE-2023-3595 tenha como alvo um módulo de comunicação responsável por manipular comandos de rede. No entanto, seu impacto é o mesmo”, explicou Dragos.
A empresa observou: “Saber sobre uma vulnerabilidade de propriedade da APT antes da exploração é uma rara oportunidade de defesa proativa para setores industriais críticos”.
A notícia das explorações surgiu apenas algumas semanas depois de ter sido relatado que vários departamentos do governo dos EUA estiveram em uma instalação na China, onde os funcionários podem ter acesso a informações que podem ser usadas para comprometer os sistemas dos clientes da empresa.
Tem havido alguma preocupação de que os funcionários possam encontrar vulnerabilidades nos produtos da Rockwell e explorá-las em ataques de dia zero direcionados a sistemas nos EUA.