Tenable ブログ
ブログ通知を受信するTenable Researchアドバイザリー:テナブル、ロックウェル・オートメーションのRSLinx Classic Lite RCEとDoSの脆弱性を発見
Tenable Researchは、リモートのコード実行、サービス拒否の脆弱性としてロックウェル・オートメーションのRSLinx Classic Lite 4.00.01の複数のメモリ破損の問題を発見しました。ユーザーにはソフトウェアを更新することが勧められます。
知っておく必要があること ロックウェル・オートメーションのRSLinx Classicでは、メモリの破損、リモートコードの実行、サービス拒否が発生する可能性があります。 攻撃ベクトル ポート44818を介してRSLINX.exeサービスに送信されるCIP(Common Industrial Protocol )メッセージ。 ビジネスに対する影響 メモリの破損とリモートコードの実行は、悪意のある資産のテイクオーバーにつながる可能性があります。 解決策 ロックウェル・オートメーションからRSLinx Classicの最新の更新プログラムを適用してください。 |
背景
Tenable Researchは、ロックウェル・オートメーションのRSLinx Classicをリモートで識別する方法を調査している際に、RSLinx Classic Lite 4.00.01 (CVE-2018-14829およびCVE-2018-14821)で複数のメモリ破損の問題を発見しました。攻撃者は、この脆弱性を悪用して認証されていないリモートのコード実行(RCE)またはサービス拒否(DoS)の攻撃を実行する可能性があります。
分析
RSLinx Classic Lite(RSLINX.exe)は、Common Industrial Protocol(CIP)メッセージをカプセル化するEtherNet / IPを実装します。 RSLINX.exeは受信したネットワークデータバイト数に対してさまざまなCIP長フィールドを完全にチェックしていないため、認証されていないリモートの攻撃者はポート44818経由でメモリを破損させる可能性があります
この攻撃によりバッファオーバーフローが発生し、攻撃者は任意のコードを実行させることができます。
ベンダー応答
ロックウェル・オートメーションは、RSLinx ClassicバージョンV3.60、V3.74、V3.80、V3.81、V3.90、およびV4.00.01のソフトウェアパッチをリリースしました。
ソリューション
ロックウェル・オートメーションのアドバイザリーは、ユーザーにソフトウェアを更新することを強く推奨しています。 また、システム動作中にRSLinx Classicのポート44818を使用しない場合は、ポート44818を無効にすることを推奨しています。さらに、ユーザーは管理者の権限を制限し、外部ソースからEtherNet / IPや他のCIPベースのデバイスへのすべてのトラフィックをブロックするなど、他のセキュリティ上のベストプラクティスに従う必要があります。
影響を受けているシステムの特定
テナブルはこれらの脆弱性を検出する以下のプラグインをリリースしました。
プラグインID |
説明 |
Rockwell Automation RSLinx Classic <= 4.00.01 複数の脆弱性 |
詳細情報
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。