Vulnerabilità critica nei PLC Modicon di Schneider Electric

Schneider ha pubblicato le misure di mitigazione per rimediare a una vulnerabilità che interessa i PLC Modicon M580 e M340.

Business Vulnerabilità
Una vulnerabilità che interessa alcuni PLC (Programmable Logic Controller) Modicon di Schneider Electric può essere sfruttata per bypassare i meccanismi di autenticazione. Un attaccante non autenticato che ha accesso alla rete del PLC può sfruttarla per assumere il controllo completo del dispositivo. La falla, monitorata come CVE-2021-22779 e soprannominata ModiPwn, è stata scoperta dai ricercatori della società di sicurezza IoT Armis.

Gli stessi ricercatori hanno creato un exploit funzionante e prodotto un video in cui dimostrano l'efficacia della catena di attacco, che coinvolge anche altre vulnerabilità scoperte negli ultimi anni. In particolare, il riferimento è alle falle monitorate come CVE-2018-7852, CVE-2019-6829 e CVE-2020-7537 correlate al protocollo UMAS (Unified Messaging Application Services) di Schneider, che viene utilizzato per configurare e monitorare i PLC del colosso industriale francese.

Secondo Armis, UMAS opera sul protocollo di comunicazione industriale Modbus, che "manca di crittografia e meccanismi di autenticazione adeguati". Infatti, le vecchie vulnerabilità sono correlate a comandi UMAS non documentati, che aprirebbero le porte all'esecuzione di codice remoto e alla divulgazione di informazioni, non solo per gli attacchi DoS come si era pensato inizialmente.

hacker 1 (1)Schneider, consapevole dei problemi, tempo fa ha adottato il più sicuro protocollo Modbus Security. Tuttavia, fino a quando questa versione non sarà ampiamente adottata dai clienti, quella vecchia continuerà a creare rischi legati alla sicurezza. Per rimediare alle vulnerabilità di Modbus, Schneider ha anche introdotto un meccanismo di autenticazione che dovrebbe impedire abusi. L'impegno tuttavia non è stato ricambiato con risultati ineccepibili, dato che la nuova vulnerabilità ModiPwn può bypassare proprio quel meccanismo di autenticazione.

La vulnerabilità di ModiPwn è stata segnalata a Schneider Electric a metà novembre 2020. Lo scorso martedì il fornitore ha pubblicato un advisor che fornisce le misure di mitigazione per questa vulnerabilità, che interessa i PLC Modicon M580 e M340. Manca tuttora la patch per chiudere definitivamente le falle.

Ci sono rischi concreti? In realtà esistono diversi malware che prendono di mira i controller industriali. Un esempio è il malware Triton, usato in passato per attaccare i controller di sicurezza Triconex di SE. La sua azione è un classico esempio del potenziale devastante che può avere un malware in esecuzione su un controller industriale, ottenendo l'esecuzione di codice nativo.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori