[SCI] Vulnerabilidad crítica en productos Rockwell Automation

Introducción

Rockwell Automation ha publicado información sobre 7 vulnerabilidades que afectan a varios de sus productos, siendo 1 de ellas de severidad crítica. La explotación de esta vulnerabilidad podría permitir que un atacante ejecute código arbitrario, realice una denegación de servicio, tome el control de una cuenta de usuario, bloquear el dispositivo, modificar archivos y ejecutarlos con privilegios elevados.^{[1][2][3][4][5][6]}

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• • • CVE-2018-1285 – Restricción incorrecta de referencia a entidad externa XML (XXE) (CWE-611):
      Apache log4net en versiones anteriores a 2.0.10, no deshabilita las entidades externas XML cuando analiza los archivos de configuración de log4net. Esto permite realizar ataques basados en XXE en aplicaciones que aceptan archivos de configuración log4net controlados por el atacante.

• La serie de productos afectados es:
  • • AADvance Standalone OPC-DA Server, versiones 2.01.510 y posteriores.
    • Versiones 34.011 y posteriores de:
      • ControlLogix 5580;
      • GuardLogix 5580.
    • DataMosaix Private Cloud, versiones anteriores a 7.07.
    • FactoryTalk View SE, versión 13.0.
    • Versiones anteriores a 36.011, 35.013 y 34.014 de:
      • CompactLogix 5380 (5069 – L3z);
      • CompactLogix 5480 (5069 – L4);
      • ControlLogix 5580 (1756 – L8z);
      • GuardLogix 5580 (1756 – L8z);
      • Compact GuardLogix 5380 (5069 – L3zS2).

Recomendaciones

Actualizar los productos afectados a las siguientes versiones correctoras, o aplicar las medidas de mitigación adecuadas:

• • • AADvance Standalone OPC-DA Server: versiones 2.02 o posteriores.
    • ControlLogix 5580 y GuardLogix 5580: versiones 34.014 y posteriores.
    • DataMosaix Private Cloud: versiones desde 7.07 hasta 7.09.
    • FactoryTalk View SE: eliminar los privilegios de lectura y escritura al grupo de usuarios Everyone.
    • CompactLogix 5380 y 5480, ControlLogix 5580, GuardLogix 5580 y Compact GuardLogix 5380: versiones 36.011, 35.013 y 34.014. Además, restringir las comunicaciones con el objeto CIP 103 (0x67).

Referencias

• [1] ICSA-24-226-02 – Rockwell Automation AADvance Standalone OPC-DA Server
• [2] ICSA-24-226-03 – Rockwell Automation GuardLogix/ControlLogix 5580 Controller
• [3] ICSA-24-226-05 – Rockwell Automation DataMosaix Private Cloud
• [4] ICSA-24-226-06 – Rockwell Automation FactoryTalk View Site Edition
• [5] ICSA-24-226-09 – Rockwell Automation ControlLogix, GuardLogix 5580, CompactLogix, Compact GuardLogix 5380
• [6] ICSA-24-226-10 – Rockwell Automation ControlLogix, GuardLogix 5580, CompactLogix, and Compact GuardLogix 5380