Protection contre les attaques OT sur les automates Rockwell Automation 

Un automate programmable (PLC) est un ordinateur conçu spécifiquement pour contrôler les processus de fabrication industrielle. Il est utilisé dans des secteurs d'infrastructure critiques, tels que les lignes d'assemblage, la surveillance des machines, le contrôle des processus, etc. Le contrôleur MicroLogix 1400 de Rockwell Automation est un automate modulaire et extensible doté d'un grand nombre d'E/S, d'un compteur rapide et d'une prise en charge améliorée du réseau, ce qui le rend adapté à une large gamme d'applications.

Une vulnérabilité dans le FRN 21.2 de Rockwell Automation MicroLogix 1400 Series B et les versions antérieures permet à un attaquant de lire et d'écrire/écrire des données sensibles sur le périphérique. Un paquet non authentifié et spécialement conçu contenant une commande conduirait à la modification du numéro de routine de défaut défini par l'utilisateur, ce qui entraînerait un arrêt inattendu de l'exécution du périphérique.

La base de données nationale des vulnérabilités (NVD) a classé cette vulnérabilité comme "critique" avec un score CVSS (Common Vulnerability Scoring System) maximal. Son impact peut affecter de manière significative la confidentialité, l'intégrité et la disponibilité d'un appareil sans nécessiter d'authentification supplémentaire. La disponibilité du système est cruciale, en particulier dans les systèmes d'infrastructure critiques, où toute interruption ou tout temps d'arrêt peut entraîner des pertes financières massives, voire des dommages physiques. Ce CVE peut entraîner l'arrêt des fonctions de l'automate en déclenchant une "défaillance du système" au sein du contrôleur, ce qui présente un risque d'interruption des systèmes d'infrastructure critiques. 

Le concept d'erreur est très proche de celui d'exception en programmation. Lorsqu'une erreur se produit, l'exécution de l'instruction est interrompue, ce qui place l'appareil dans un état d'erreur. Les fautes peuvent être classées en deux catégories : les fautes d'utilisateur et les fautes de non-utilisateur.  

Il existe deux mécanismes d'effacement des défauts : l'effacement automatique par un cycle d'alimentation du contrôleur, ou l'effacement manuel avec une routine de défaut utilisateur, qui est une procédure qui peut être configurée pour s'exécuter automatiquement en réponse à un défaut utilisateur. Le CVE-2017-14469 concerne le second mécanisme. Pour éviter que le système ne s'arrête ou n'interrompe son exécution de manière inattendue en raison d'une erreur de l'utilisateur, une routine d'erreur de l'utilisateur est définie pour gérer les erreurs attribuées en fonction de leur numéro d'erreur et est exécutée lorsque l'erreur correspondante se produit. S'il n'y a pas de routine pour gérer le défaut, l'appareil arrête l'exécution et affiche le numéro du défaut. La valeur de la routine d'erreur utilisateur est fixée à 0x00 lorsque l'appareil fonctionne normalement, et elle ne doit être configurée que dans la plage de 0x03 à 0xFF pour la gestion des erreurs.

Le MicroLogix 1400 de Rockwell Automation comporte trois positions de commutateur de mode : PROGRAM, REMOTE et RUN. Les modes PROGRAM et REMOTE permettent de télécharger des programmes vers l'appareil, tout en acceptant et en traitant les demandes entrantes. Cependant, en mode RUN, l'appareil n'accepte que des requêtes restreintes. Dans le contexte de cette vulnérabilité, l'exploitation n'est pas possible si le dispositif est en mode RUN.

L'appareil communique via le protocole CIP (Common Industrial Protocol) avec l'extension PCCC. Le protocole CIP s'appuie sur le protocoleIndustrial Ethernet/IP. La structure d'un paquet est illustrée dans la figure ci-dessous :

L'attaque peut être divisée en 4 étapes.

1. Établir une connexion avec l'appareil via Ethernet/IP pour obtenir l'identifiant de session.
2. Envoyer la requête malveillante pour écraser le numéro de la routine d'erreur.
3. Fabriquer un paquet CIP malveillant pour remettre l'automate en mode Run afin de déclencher l'erreur.
4. L'appareil rencontre une erreur et arrête l'exécution.

Pour communiquer avec l'appareil, un attaquant doit initier une connexion en enregistrant une session avec l'appareil afin d'obtenir la poignée de session et de l'utiliser pour la communication en cours. Le code suivant illustre une demande d'enregistrement de session standard :

Par la suite, un pirate rédige une requête en utilisant l'identifiant de session précédemment obtenu et inclut une charge utile avec une commande d'écriture logique protégée pour écraser le numéro de la routine d'erreur, encapsulée dans un paquet CIP.

Dans la dernière étape, un autre paquet CIP est envoyé pour faire passer l'appareil en mode de fonctionnement et déclencher l'erreur.

Comme le montre l'image, l'exécution de l'automate est interrompue et la vulnérabilité est exploitée avec succès.

OPSWATLes produits de sécurité ICS d'Ipsos sont conçus pour résister à ce type d'attaques. MetaDefender OT Security est un outil de détection des menaces et de renseignement alimenté par l'IA qui détecte toute demande anormale émanant d'attaquants, permettant ainsi aux administrateurs d'identifier les menaces potentielles. 

MetaDefender OT Security dispose des capacités suivantes pour améliorer le niveau de sécurité des environnements OT : 

1. Découvrir et dresser rapidement l'inventaire des actifs grâce à Smart Asset Profiling
2. Surveillance active et passive des menaces et des anomalies
3. Gestion à distance des correctifs avec des capacités centralisées d'auto-patching
4. Flux de travail structuré et rationalisé pour les alertes de risque, géré par un tableau de bord complet et personnalisable.
5. Rapports sur la conformité réglementaire au niveau mondial, régional et sectoriel