חוקרים של חברת הסייבר התעשייתי קלארוטי חשפו חולשת אבטחה חמורה

בתוכנה של רוקוול אוטומציה הנמצאת בשימוש נרחב בתעשייה ובמתקני תשתיות קריטיות. החולשה חמורה בציון CVSS מקסימלי של 10.0
החולשה החמורה (ציון CVSS מקסימלי של 10.0) משפיעה על מנגנון האימות בין בקרי PLC של Rockwell לתחנות ההנדסה שלהם, ועלולה לחשוף מפעלים ומתקני תשתית לפריצה מרחוק, גניבת מידע והשבתת תהליכים

חוקרים של חברת הסייבר התעשייתי קלארוטי (Claroty) מתל אביב, חשפו חולשת אבטחה חמורה במנגנון אימות התקשורת בין בקרי PLC של חברת Rockwell Automation לבין תחנות ההנדסה שלהם.
חולשה זו, המשפיעה על סוגים רבים של בקרי Logix, עלולה לאפשר אפילו לתוקף בעל רמת מיומנות נמוכה, לעקוף את דרישת האימות ולהתחבר מרחוק כמעט לכל אחד מבקרי ה-Logix של רוקוול. החולשה זכתה לציון CVSS 10.0, הגבוה ביותר האפשרי.
החוקרים בצוות קלארוטי, שרון בריזינוב וטל קרן, אשר הובילו את המחקר, מסבירים כי חולשת האבטחה נעוצה בעובדה שתוכנת Studio 5000 Logix Designer של רוקוול אוטומציה, עלולה לאפשר את חשיפתו של מפתח הצפנה חסוי המשמש לאימות התקשורת בין בקרי Logix לתחנות ההנדסה שלהם. ניצול החולשה עלול לאפשר לתוקף לעקוף מרחוק את מנגנון האימות ולהתחבר מרחוק ישירות לבקרי Logix, שחלקם נמצאים בליבת תהליכי ייצור קריטיים.
לאחר מכן התוקף יכול "לחקות" תחנת הנדסה לגיטימית ולפגוע במגוון דרכים בארגון, כמו למשל להעלות קוד זדוני לבקר, להוריד ממנו מידע, או להתקין קושחה חדשה ולשנות לחלוטין את ההגדרות שלו. תרחישים אלה עלולים לפגוע במגוון רחב של תהליכי ייצור המשתמשים בבקרי PLC, לרבות תהליכים המשלבים מנועים, משאבות, אורות, מאווררים, מפסקים וציוד מכני נוסף.
כדי לפתור את חולשת האבטחה החמורה, קלארוטי דיווחה עליה לחברת רוקוול אוטומציה אשר המליצה ללקוחותיה לבצע מספר צעדים כדי להקטין את הסיכון לפגיעה בבקרים ובתהליכי ייצור: ראשית, רוקוול ממליצה ללקוחותיה להשאיר את מתג ההפעלה של הבקרים על מצב "Run" וכן להשתמש בהגדרות CIP Security לתקשורת בין תוכנת Logix Designer לבקרים על מנת למנוע קשרים בלתי מורשים.
רוקוול ממליצה על מספר צעדים נוספים להקטנת החשיפה לחולשת האבטחה, החל בסגמנטציית רשת ובקרות אבטחה ראויות כגון צמצום מרבי של המערכות החשופות לרשת האינטרנט. מערכות שליטה ובקרה צריכות לקבל הגנה של פיירוול ולהיות מבודדות מרשתות חיצוניות ככול שניתן, ומומלץ להשתמש בפתרון מקצועי לאבטחת גישה מרחוק, או לכל הפחות VPN.


אודות Claroty
Claroty (קלארוטי) היא החברה לאבטחת סייבר תעשייתי. קלארוטי זוכה לאמון מצד החברות הגדולות ביותר בעולם והיא מסייעת ללקוחותיה לנטר, לאבטח, ולנהל את נכסי ה-OT, IoT וה-IIoT שלהם. הפלטפורמה המקיפה של קלארוטי מתחברת בצורה חלקה עם התשתית והתוכניות הקיימות של הלקוחות, ומספקת מגוון מלא של בקרות אבטחת סייבר תעשייתיות להשגת נראות, גילוי איומים, ניהול סיכונים וחולשות אבטחה, וגישה מרחוק מאובטחת – תוך הפחתה משמעותי של עלות הבעלות הכוללת (TCO). קלארוטי מגובה ומאומצת על ידי ספקי האוטומציה התעשייתית המובילים בעולם, יש לה אקוסיסטם נרחב של שותפים וצוות מחקר עטור פרסים. מטה החברה נמצא בניו יורק ויש לה נוכחות באירופה, באסיה-פסיפיק ובאמריקה הלטינית, ולקוחות בכל שבע היבשות. מאז שנוסדה בתל אביב בשנת 2015 על ידי Team8, הושקעו בחברה מאה מיליון דולרים.
לאתר החברה: www.claroty.com