Inicio / Alerta Temprana / Avisos Sci / Debilidad de credenciales SNMP en MicroLogix 1400 de Rockwell Automation

Debilidad de credenciales SNMP en MicroLogix 1400 de Rockwell Automation

Fecha de publicación: 
12/08/2016
Importancia: 
4 - Alta
Recursos afectados: 

Los siguientes productos se ven afectados en todas sus versiones:

  • 1766-L32BWA
  • 1766-L32AWA
  • 1766-L32BXB
  • 1766-L32BWAA
  • 1766-L32AWAA
  • 1766-L32BXBA
Descripción: 

El grupo de investigadores Cisco Talos ha reportado la existencia de una comunidad del protocolo SNMP privilegiada y no documentada en los controladores PLC MicroLogix 1400 de Rockwell Automation.

Solución: 

Debido a la naturaleza del servicio de actualizaciones de firmware del producto afectado, la vulnerabilidad no va a ser corregida.

Rockwell Automation propone las siguientes acciones para mitigar los efectos de la vulnerabilidad:

  • Utilizar el interruptor de llave "RUN" configurado para prevenir operaciones de actualizaciones de firmware no autorizadas e indeseadas y otros cambios de configuración que puedan afectar al servicio.
  • Utilizar controles de infraestructura de red, como cortafuegos, para bloquear peticiones SNMP no autorizadas.
  • Deshabilitar el servicio SNMP.
    • Es necesario habilitar de nuevo SNMP para recibir actualizaciones de firmware.
  • Minimizar la exposición a la red para todos los dispositivos o sistemas de control y asegurar que no son accesibles desde internet.
  • Posicionar dispositivos y redes de control detrás de un cortafuegos y aislarlos de la red corporativa.
  • Cuando se requiera el acceso remoto, usar métodos seguros (VPN).
Detalle: 

Los dispositivos MicroLogix 1400 utilizan el protocolo SNMP como método oficial para aplicar las actualizaciones de firmware. La existencia de la comunidad privilegiada supone una vulnerabilidad que posibilita la ejecución de cambios no autorizados en la configuración del producto, incluyendo actualizaciones de firmware.

Esta vulnerabilidad puede ser aprovechada de forma remota.

Se ha reservado el identificador CVE-2016-5645 para esta vulnerabilidad.