Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse regering heeft gewaarschuwd dat de kwetsbaarheid op afstand kan worden uitgebuit door aanvallers met een ‘laag’ vaardigheidsniveau. Aan de hand van het CVSS-beoordelingssysteem (Common Vulnerability Scoring System) geeft CISA de kwetsbaarheid een score van 10 – de hoogst mogelijke score.
De kwetsbaarheid treft de engineeringsoftware Studio 5000 Logix Designer (versies 21 en later) en RSLogix 5000 (versies 16-20) van Rockwell, en veel van de Logix-controllers, zoals de CompactLogix-, ControlLogix-, DriveLogix-, GuardLogix- en SoftLogix-modellen. De ICS-advies volledige lijst.
De kwetsbaarheid werd onafhankelijk van elkaar ontdekt door cyber-onderzoekers van Claroty, Kaspersky en Soonchunhyang University in Zuid-Korea. Zoals meestal gebeurt in dergelijke gevallen, waarschuwden zij Rockwell Automation, zodat het passende maatregelen kon nemen. De ontdekking is nu openbaar gemaakt via een ICS-advies, dat 25 februari is gepubliceerd.
In reactie op de ontdekking heeft Rockwell Automation een beveiligingsadvies uitgebracht waarin wordt beschreven hoe de kwetsbaarheid van invloed is op de Studio 5000 Logix Designer-software en de bijbehorende controllers. In de mededeling wordt een aantal mogelijke maatregelen aanbevolen, waaronder het op ‘run’ zetten van de modusschakelaar van de controller en het implementeren van CIP Security voor Logix Designer-verbindingen. Wanneer dit op de juiste wijze wordt toegepast, voorkomt het ongeautoriseerde verbindingen. Als het niet mogelijk is om de run-modus te implementeren, stelt Rockwell andere maatregelen voor, afhankelijk van het betreffende model Logix-controller. Het ICS-advies bevat alle adviezen van Rockwell.
Dat potentiële kwetsbaarheden in industriële besturingssystemen wijdverbreid zijn, blijkt wel uit het feit dat dit jaar tot nu toe al meer dan 50 adviezen heeft uitgebracht. Bedrijven waarvan de producten onder deze adviezen vallen zijn onder meer Advantech, Delta Electronics, Eaton, Fuji Electric, GE, Honeywell, Horner, Johnson Controls, Mitsubishi Electric, Omron, Panasonic, Pro-Soft, Red Lion, Schneider Electric, Siemens en Wago.
De Pi-Pop is een e-bike zonder de gewone energiecellen. Hij werkt op kracht zonder lithium-ion,…
Straling vanuit de ruimte is een uitdaging voor kwantumcomputers, omdat hun rekentijd beperkt wordt door…
Na meer dan 40 jaar voor KSB te hebben gewerkt, gaat directeur Nico Gitz binnenkort…
3T Electronics & Embedded Systems, onderdeel van de Kendrion Group, heeft een nieuwe locatie in…
Een nieuw huisbeveiligingssysteem schiet indringers de tuin uit met paintballs of traangas. Het is te…
Om ervoor te zorgen dat er steeds meer hernieuwbare waterstof wordt geproduceerd in Nederland en…