Scoperte vulnerabilità nei dispositivi PanelView Plus che potrebbero favorire l’esecuzione di codice remoto e attacchi DoS.
Recenti ricerche hanno messo in evidenza due gravi vulnerabilità nei dispositivi PanelView Plus, utilizzati ampiamente nel settore industriale come interfacce uomo-macchina (HMI). Queste falle di sicurezza, scoperte da Microsoft, potrebbero consentire ad attaccanti non autenticati di eseguire codice da remoto (RCE) e di causare un’interruzione del servizio (DoS).
Le vulnerabilità individuate
Le vulnerabilità interessano specifiche classi personalizzate all’interno dei dispositivi PanelView Plus. La vulnerabilità RCE è rappresentata dalla possibilità di caricare e avviare una DLL malevola sul dispositivo, mentre quella DoS sfrutta la stessa classe per inviare un buffer appositamente costruito che il dispositivo non è in grado di gestire correttamente.
Questi dispositivi, essendo cruciali per la supervisione e il controllo in ambienti industriali, possono subire conseguenze significative in caso di attacco. Una compromissione potrebbe portare a gravi disservizi, rallentamenti nella produzione e possibili danni economici.
Dettagli tecnici delle vulnerabilità
Le vulnerabilità sono state tracciate con i seguenti identificativi:
- CVE-2023-2071: Esecuzione di codice da remoto (CVSS 9.8)
- CVE-2023-29464: Interruzione del servizio tramite lettura fuori dai limiti (CVSS 8.2)
Utilizzando il protocollo CIP (Common Industrial Protocol), comune nei settori industriali, è stata identificata una comunicazione non criptata tra i dispositivi che ha messo in luce la mancanza di autenticazione preventiva. Questa scoperta è avvenuta durante l’analisi dei pacchetti di rete di Microsoft Defender per IoT.
Analisi del protocollo CIP
Il CIP è un protocollo orientato agli oggetti, utilizzato in applicazioni di automazione industriale. I dispositivi comunicano tramite oggetti identificati da “Class ID” e “Object Instance ID”. La specifica IEC describe classi e servizi comuni, nonché un range per ID specifici del venditore.
Analisi del firmware
I dispositivi PanelView Plus operano su sistemi Windows 10 IoT o versioni precedenti basate su Windows CE. Grazie all’analisi del firmware, sono state estratte le DLL e gli eseguibili correlati necessari per processare diversi “Class ID”. Due classi personalizzate sono emerse come potenzialmente sfruttabili per eseguire codice da remoto. Una di queste classi accetta un percorso di DLL e un nome di funzione per caricare ed eseguire la DLL, mentre l’altra permette di leggere e scrivere file sul dispositivo.
Metodo di sfruttamento
Per sfruttare queste vulnerabilità, un attaccante potrebbe caricare una DLL dannosa sulla piattaforma utilizzando una delle classi personalizzate, poi eseguire questa DLL utilizzando l’altra classe. Questo sfruttamento avviene caricando la DLL in una posizione accessibile e utilizzando un nome di funzione valido predefinito.
Raccomandazioni e mitigazioni
Per proteggersi da queste vulnerabilità, è fondamentale applicare quanto prima le patch di sicurezza rilasciate da Rockwell Automation. È altresì consigliato limitare l’accesso ai dispositivi CIP solo a componenti autorizzati e assicurarsi che dispositivi critici siano disconnessi da internet e ben segmentati all’interno della rete aziendale.
Protezione con Microsoft Defender per IoT
Microsoft Defender per IoT offre la capacità di rilevare e classificare dispositivi che utilizzano CIP, generando alert per accessi non autorizzati e comportamenti anomali. Questo strumento permette di monitorare tentativi di sfruttamento delle vulnerabilità e altre attività malevole, garantendo una protezione avanzata contro le minacce emergenti.