Detalhes divulgados após a Schneider Electric corrigir uma falha crítica que permite a invasão de PLCs

Nos últimos meses, a Schneider Electric lançou patches para sua plataforma EcoStruxure e alguns controladores lógicos programáveis ​​(PLCs) Modicon para resolver uma vulnerabilidade crítica que foi divulgada há mais de um ano.

A falha em questão, rastreada como CVE-2021-22779, foi descrita pela gigante industrial como um problema de desvio de autenticação que poderia permitir acesso não autorizado no modo de leitura e gravação a um controlador Modicon M580 ou M340 falsificando comunicações Modbus entre o controlador e o software de engenharia.

A Schneider Electric creditou pesquisadores de várias empresas por relatar essa vulnerabilidade, incluindo Fortinet, Tenable, Kaspersky, Armis e Bolean Tech.

Armis, que apelidou a falha de ModiPwn, divulgou detalhes em julho de 2021, quando alertou que um invasor não autenticado que tem acesso à rede ao PLC alvo poderia explorar a vulnerabilidade para assumir o controle total do dispositivo alvo. Um invasor pode alterar a operação do PLC enquanto oculta as modificações maliciosas da estação de trabalho de engenharia que gerencia o controlador.

No momento da divulgação de Armis, as mitigações estavam disponíveis, mas nenhum patch havia sido lançado pela Schneider Electric. O fornecedor começou a lançar patches em março de 2022. As correções foram lançadas inicialmente para o software EcoStruxure e nos meses seguintes a empresa anunciou a disponibilidade de patches de firmware para os PLCs. A rodada final de patches foi lançada em agosto.

Agora que o problema parece ter sido resolvido, a equipe ICS-CERT da Kaspersky publicou seu próprio relatório sobre CVE-2021-22779 e o protocolo UMAS (Unified Messaging Application Services) que foi utilizado neste ataque.

UMAS é um protocolo proprietário da Schneider que é usado para configurar e monitorar os PLCs da empresa.

De acordo com a Kaspersky, a história do CVE-2021-22779 remonta a 2020, quando os pesquisadores descobriram o CVE-2020-28212. Essa falha de segurança permite que um invasor remoto obtenha o controle de um PLC com os privilégios de um operador já autenticado usando um ataque de força bruta.

Para evitar tais ataques, a Schneider Electric lançou um novo recurso em seu produto EcoStruxure, chamado Application Password. Esse recurso deve impedir ataques de força bruta que poderiam obter uma informação necessária para contornar a autenticação e sequestrar o PLC de destino.

No entanto, o CVE-2021-22779 permite que um invasor ignore a autenticação mesmo se a Senha do Aplicativo estiver configurada e faça alterações não autorizadas no PLC.

“Foi estabelecido que o protocolo UMAS, em sua implementação anterior à versão em que a vulnerabilidade CVE-2021-22779 foi corrigida, apresentava deficiências significativas que tiveram um efeito crítico na segurança dos sistemas de controle baseados em controladores SE”, explicou Kaspersky .

A empresa de segurança cibernética observou que uma pesquisa Shodan mostra cerca de 1.000 dispositivos Modicon M340/M580 expostos à Internet e acredita que isso é apenas a ponta do iceberg.

Conheça o octoplant! Solução para gestão de ativos de OT, governança e cyber segurança. O octoplant realiza a gestão de todas as alterações realizadas no código, e mais, identifica as vulnerabilidades atuais para seus ativos de OT gerenciados.

Esteja protegido contra essas ameaças: https://hsinet.com.br/octoplant/

Fonte: Details Disclosed After Schneider Electric Patches Critical Flaw Allowing PLC Hacking

Contact Us

Copyright © 2022 HSI Smart Solutions.  Todos os direitos reservados.

plugins premium WordPress

Quer receber atualizações?

Deixe seus dados e enviaremos atualizações sobre o assunto desejado: