Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Allen-Bradley MicroLogix 1100 y 1400 de Rockwell Automation

Múltiples vulnerabilidades en Allen-Bradley MicroLogix 1100 y 1400 de Rockwell Automation

Fecha de publicación: 
24/05/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Allen-Bradley MicroLogix 1100
    • 1763-L16AWA, Series A and B, versión 16.00 y versiones anteriores
    • 1763-L16BBB, Series A and B, versión 16.00 y versiones anteriores
    • 1763-L16BWA, Series A and B, versión 16.00 y versiones anteriores
    • 1763-L16DWD, Series A and B, versión 16.00 y versiones anteriores
  • Allen-Bradley MicroLogix 1400
    • 1766-L32AWA, Series A and B, versión 16.00 y versiones anteriores
    • 1766-L32BWA, Series A and B, v16.00 y versiones anteriores
    • 1766-L32BWAA, Series A and B, versión 16.00 y versiones anteriores
    • 1766-L32BXB, Series A and B, versión 16.00 y versiones anteriores
    • 1766-L32BXBA, Series A and B, versión 16.00 y versiones anteriores
    • 1766-L32AWAA, Series A and B, versión 16.00 y versiones anteriores
Descripción: 

Los investigadores David Formby y Raheem Beyah de Georgia Tech y Fortiphyd Logic, Inc, Ilya Karpov de Positive Technologies y Rockwell Automation han notificado la existencia de vulnerabilidades que afectan a varias series de los productos Allen-Bradley MicroLogix 1100 y 1400. Un potencial atacante remoto podría conseguir acceso no autorizado a los dispositivos afectados así como falsear o cortar conexiones TCP.

Solución: 

Rockwell Automation ha publicado el nuevo firmware FRN 21.00 para los controladores Allen-Bradley MicroLogix 1400 Series B que soluciona estas vulnerabilidades. El firmware pude descargarse en compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?Keyword=1766-Lxx&crumb=112

No hay nuevas versiones de firmware para solucionar estas vulnerabilidades en los controladores Allen-Bradley MicroLogix 1100 o Allen-Bradley MicroLogix 1400 Series A. Rockwell Automation recomienda a los usuarios de estos productos deshabilitar el servidor web para proteger la explotación de la restricción inadecuada frente a excesivo intentos de autenticación y los débiles requerimientos de las contraseñas.

Rockwell Automation recomienda deshabilitar el servidor web de manera que no pueda volver a ser activado mediante la habilitación del modo RUN en el LCD mediante el teclado software y prohiba la rehabilitación del servidor mientras se está en dicho modo.

Detalle: 

Las vulnerabilidades identificadas son:

  • Rango de valores predecible a partir de valores previos: Los números de secuencia iniciales de TCP no son lo suficientemente aleatorios y y pueden ser predichos a partir de los valores previos. Un potencial atacante remoto podría suplantar o cortar las conexiones TCP consiguiendo una denegación de servicio en el dispositivo objetivo. Se ha reservado el identificador CVE-2017-7901 para esta vulnerabilidad.
  • Reutilización de nonces: Los productos afectados reultizan los nonces, lo que podría permitir a un potencial atacante remoto capturar y reenviar una petición válida hasta que el nonce cambie. Se ha reservado el identificador CVE-2017-7902 para esta vulnerabilidad.
  • Exposición de información: Las credenciales de usuario son enviadas al servidor web utilizando el método HTTP GET, lo que podría permitir su captura. Esto podría hacer que las credenciales estén disponibles para recuperaciones no autorizadas.Se ha reservado el identificador CVE-2017-7899 para esta vulnerabilidad.
  • Restricción inadecuada frente a excesivo intentos de autenticación: No existe penalización por la entrada continuada de contraseñas erróneas. Se ha reservado el identificador CVE-2017-7898 para esta vulnerabilidad.
  • Débiles requerimientos de contraseña: Las contraseñas están basadas en números de muy corta longitud. Se ha reservado el identificador CVE-2017-7903 para esta vulnerabilidad.
Etiquetas: