Tenable ブログ
ブログ通知を受信する
Tenable Researchアドバイザリー:テナブル、ロックウェル・オートメーションのRSLinx Classic Lite RCEとDoSの脆弱性を発見
Tenable Researchは、リモートのコード実行、サービス拒否の脆弱性としてロックウェル・オートメーションのRSLinx Classic Lite 4.00.01の複数のメモリ破損の問題を発見しました。ユーザーにはソフトウェアを更新することが勧められます。
|
知っておく必要があること ロックウェル・オートメーションのRSLinx Classicでは、メモリの破損、リモートコードの実行、サービス拒否が発生する可能性があります。 攻撃ベクトル ポート44818を介してRSLINX.exeサービスに送信されるCIP(Common Industrial Protocol )メッセージ。 ビジネスに対する影響 メモリの破損とリモートコードの実行は、悪意のある資産のテイクオーバーにつながる可能性があります。 解決策 ロックウェル・オートメーションからRSLinx Classicの最新の更新プログラムを適用してください。 |
背景
Tenable Researchは、ロックウェル・オートメーションのRSLinx Classicをリモートで識別する方法を調査している際に、RSLinx Classic Lite 4.00.01 (CVE-2018-14829およびCVE-2018-14821)で複数のメモリ破損の問題を発見しました。攻撃者は、この脆弱性を悪用して認証されていないリモートのコード実行(RCE)またはサービス拒否(DoS)の攻撃を実行する可能性があります。
分析
RSLinx Classic Lite(RSLINX.exe)は、Common Industrial Protocol(CIP)メッセージをカプセル化するEtherNet / IPを実装します。 RSLINX.exeは受信したネットワークデータバイト数に対してさまざまなCIP長フィールドを完全にチェックしていないため、認証されていないリモートの攻撃者はポート44818経由でメモリを破損させる可能性があります
この攻撃によりバッファオーバーフローが発生し、攻撃者は任意のコードを実行させることができます。
ベンダー応答
ロックウェル・オートメーションは、RSLinx ClassicバージョンV3.60、V3.74、V3.80、V3.81、V3.90、およびV4.00.01のソフトウェアパッチをリリースしました。
ソリューション
ロックウェル・オートメーションのアドバイザリーは、ユーザーにソフトウェアを更新することを強く推奨しています。 また、システム動作中にRSLinx Classicのポート44818を使用しない場合は、ポート44818を無効にすることを推奨しています。さらに、ユーザーは管理者の権限を制限し、外部ソースからEtherNet / IPや他のCIPベースのデバイスへのすべてのトラフィックをブロックするなど、他のセキュリティ上のベストプラクティスに従う必要があります。
影響を受けているシステムの特定
テナブルはこれらの脆弱性を検出する以下のプラグインをリリースしました。
|
プラグインID |
説明 |
|
Rockwell Automation RSLinx Classic <= 4.00.01 複数の脆弱性 |
詳細情報
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。
関連記事
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.