2021/02/27

Vulnerabilidade em PLCs Rockwell Logix deixa instalações industriais em perigo

Investigadores descobriram uma vulnerabilidade crítica que afecta os PLCs da Rockwell / Allen-Bradley, e que essencialmente os deixa abertos a poderem ser controlados por qualquer atacante que lhes consiga aceder.

Numa altura em que as guerras digitais vão subindo de tom, com a internet a servir de campo de batalha para tentativas de ataque continuado contra infraestruturas e outras entidades (veja-se os frequentes casos de ransomware), a preocupação de ataques direccionados contra instalações industriais torna-se uma realidade e não apenas um cenário que poderia surgir em filmes de ficção. E neste caso, temos uma vulnerabilidade que deixa milhares de instalações de porta aberta para hackers.

Investigadores descobriram uma falha crítica nos PLCs da Rockwell / Allen-Bradley, que permite que um atacante os possa controlar remotamente, alterando a sua programação ou até instalando novo firmware que garante que permanece infectado mesmo que os legítimos donos tentem repor as configurações iniciais.
Os PLCs (Programmable logic controller) são pequenos mini-computadores usados em máquinas industriais, que têm funcionalidades que se podem considerar básicas face a um computador normal: fazer contagem de impulsos, esperar por determinadas condições de input de sensores e actuar diversos outputs; mas cujo impacto pode ser desastroso. Basta referir que foi algo deste tipo que permitiu que o malware Stuxnet destuísse as máquinas que estariam a ser utilizadas para desenvolver capacidade nuclear no Irão.

Esta falha afecta uma série de famílias de PLCs (CompactLogix 1768, 1769, 5370, 5380, 5480, 5550, 5560, 5570, 5580; Drive Logix 5560, 5730, 1794-L34; Compact GuardLogix 5370, 5380, 5570 e 5580; e SoftLogix 5800) que, aparentemente, não irão receber qualquer actualização para os corrigir. Em vez disso o fabricante recomenda que os seus clientes implementem as devidas medidas para que estes PLCs não estejam acessíveis a partir da internet, ou alterem o seu modo de funcionamento para que não permitam programação remota. Recomendações que são válidas, mas não evitam que se torne em mais um arriscado vector de ataque à disposição de quem se conseguir infiltrar na rede internet de uma empresa que os utilize.

2 comentários:

  1. Vulnerabilidades em equipamentos industriais, basta consultar a lista disponível em https://us-cert.cisa.gov/ics/advisories
    e escolher.
    Talvez sejam mais preocupantes as falhas dos equipamentos Siemens, fabricante que é provavelmente o líder de mercado na Europa.
    Nota final: Os equipamentos afetados no Irão, eram Siemens. :)

    ResponderEliminar
  2. E mais aquelas instalações em fábricas em que as redes não estão protegidas, ou são deixadas portas abertas para ligação remota do integrador (para dar suporte), mas sem segurança adicional. Enfim, há muitos casos em Portugal e por esse mundo fora, em que alguém mal intencionado pode muito bem parar uma linha de produção.

    ResponderEliminar

[pub]