一、漏洞概述
Rockwell Automation RSLogix 5 and RSLogix 500是由美国罗克韦尔(Rockwell Automation)公司推出两款广泛使用的编程软件,用于开发和维护 Allen-Bradley PLC(可编程逻辑控制器)的控制程序。RSLogix 5 主要面向 SLC 500 系列 PLC,适用于更复杂的控制系统,而 RSLogix 500 则主要面向 MicroLogix 系列 PLC,适用于小型和简单的控制系统。
Rockwell Automation RSLogix 5 and RSLogix 500在所有版本中存在命令执行漏洞,该漏洞源于数据真实性验证不足,攻击者使用嵌入式 VBA 恶意脚本,将脚本配置为在打开项目文件时自动运行。当用户打开受感染的 RSP 或 RSS 项目文件时,恶意代码会被执行。
二、以下是漏洞详情:
三、受影响的产品
以下版本的Rockwell Automation存在这些问题:
-RSLogix 500:所有版本
-RSLogix Micro Developer 和 Starter:所有版本
-RSLogix 5:所有版本
四、处置方法
1、Rockwell Automation官方建议受影响的用户通过策略禁用VBA,阻止VBA代码执行危害
2、加强访问控制,使用六方云工业防火墙、工业网闸等产品进行隔离保护
3、使用六方云工业卫士阻止不受信任的网络和主机访问并做好白名单防护
4、使用六方云神探及时发现未知威胁
五、参考链接
https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-01
六方云超弦实验室将持续跟踪安全情报变化,及时发布相关信息,若有需要,请联系400-6060-270
