罗克韦尔plc程序强制输出（罗克韦尔PLC发现严重漏洞及其后果与应对措施）

网络研究人员发现了一个严肃验证罗克韦尔自动化PLC和工程软件之间通信的机制中存在缺陷。利用该漏洞，攻击者可以远程连接罗克韦尔几乎所有的Logix PLC可编程控制器，使用Logix技术驱动程序和安全控制器，上传恶意代码，从PLC下载信息或安装新固件。

美国政府网络安全和基础设施安全局(Cisa)警告称，攻击者可能会远程利用这一漏洞。使用CVSS(通用漏洞评分系统)评级方案，Cisa将漏洞评分设置为10分：最高注册。

2019年，来自韩国的网络研究人员美国克拉洛蒂大学、卡巴斯基大学和宋春阳大学联合并独立发现了这个漏洞。通常，在这种情况下，他们会警告罗克韦尔自动化的相关漏洞，并让其采取适当的补救措施。这一发现已经通过Cisa发布的ICS Cert公告发布。

该漏洞会影响罗克韦尔 Studio 5000 Logix Designer(版本21及以上)和RSLogix 5000(版本16-20)工程软件，以及很多Logix控制器，包括CompactLogix、ControlLogix、DriveLogix、GuardLogix和SoftLogix型号。

该漏洞的存在是因为软件使用密钥来验证与Logix controller的通信。未经身份验证的远程攻击者可以绕过这种身份验证机制，直接连接到控制器。

提取密钥的攻击者可以登录到任何Rockwell Logix控制器进行身份验证。这些密钥对与PLC的所有通信进行数字签名，PLC验证签名并授权与软件的通信。使用此密钥的攻击者可以模拟工作站，从而操纵PLC上运行的配置或代码，这可能会影响制造过程。

针对这一发现，罗克韦尔自动化公司发布了安全建议，描述了该漏洞如何影响Studio 5000 Logix Designer软件和相关控制器。

新发现的漏洞涉及罗克韦尔自动化 Studio 5000软件及其Logix控制器。

它推荐了几种可能的缓解措施，包括切换控制器模式到运行Logix designer连接的模式和部署CIP安全性。一旦正确部署，就可以防止未经授权的连接。如果运行模式无法实现，罗克韦尔建议根据受影响的Logix控制器的型号采取其他措施。

罗克韦尔还建议采取几种通用的缓解措施来降低漏洞的影响，首先是网络分段和安全控制，比如尽量减少控制系统对网络或互联网的暴露。它说，控制系统应该在防火墙后面，并在可行的情况下与其他网络隔离。

ICS Cert咨询包括罗克韦尔的所有缓解建议，包括对每个产品系列和版本的建议。它还推荐了几种检测方法，如果用户怀疑他们的配置已被修改，可以使用这些方法。

公告称，到目前为止，还没有针对该漏洞的已知公开攻击。林恩