Ricercatori della società di cybersecurity Tenable hanno identificato delle vulnerabilità nel prodotto ThinManager ThinServer di Rockwell Automation che potrebbero essere sfruttate per prendere di mira i sistemi di controllo industriale (ICS). Le vulnerabilità, etichettate come CVE-2023-2914, CVE-2023-2915 e CVE-2023-2917, sono di gravità critica ed elevata. Questi difetti derivano da una non corretta validazione degli input, portando a possibili overflow di interi o traversal di percorsi. Ciò che preoccupa è che gli attaccanti remoti possono sfruttare queste vulnerabilità senza autenticazione previa, inviando messaggi di protocollo di sincronizzazione appositamente formulati.
Le conseguenze di tale sfruttamento includono la causazione di una condizione di negazione del servizio (DoS), l’eliminazione di file con privilegi di sistema e il caricamento di file in qualsiasi cartella in cui risiede ThinServer.exe. Tenable ha segnalato queste vulnerabilità a Rockwell a maggio. Il 17 agosto, Rockwell ha informato i suoi clienti sulle patch disponibili, coincidendo con la pubblicazione dei dettagli tecnici da parte di Tenable. Anche se Tenable ha creato exploit dimostrativi, questi restano non divulgati al pubblico.
Tenable ha sottolineato a SecurityWeek che l’unico requisito per lo sfruttamento è l’accesso alla rete al server vulnerabile. Se il server è connesso ed esposto online, uno sfruttamento diretto da internet è fattibile, anche se contro le migliori pratiche di Rockwell. Tenable ha avvertito: “Un sfruttamento riuscito può concedere agli attaccanti il pieno controllo del ThinServer. Le reali conseguenze dipendono dall’ambiente, dalla configurazione del server e dai tipi di contenuto a cui il server accede.”
Il prodotto viene utilizzato principalmente per interfacce uomo-macchina (HMIs) che controllano e monitorano le apparecchiature industriali. Gli attaccanti potrebbero potenzialmente accedere a questi HMIs o passare dal server per prendere di mira altre risorse di rete. L’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli USA (CISA) ha anche emesso un avviso riguardo queste vulnerabilità. Rivelazioni recenti indicano che gli attori minacciosi stanno osservando le vulnerabilità dei prodotti di Rockwell Automation, sottolineando la necessità di misure di sicurezza rafforzate.
Source: SecurityWeek
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.