美国Rockwell Automation公司的可编程逻辑控制器存在安全漏洞,可致敏感信息泄露
字数 1426 2025-08-18 11:39:26

Rockwell Automation PLC安全漏洞分析与防护指南

漏洞概述

美国Rockwell Automation公司的MicroLogix系列可编程逻辑控制器(PLC)和RSLogix 500软件被披露存在多个安全漏洞,由美国网络安全和基础设施安全局(CISA)发布公告。这些漏洞涉及敏感信息泄露和身份认证绕过等严重问题。

受影响产品及版本

  • MicroLogix 1400 Controllers

    • Series B: v21.001及之前版本
    • Series A: 所有版本

  • MicroLogix 1100 Controllers: 所有版本

  • RSLogix 500 Software: v12.001及之前版本

漏洞详情

1. CVE-2020-6990 (超危, CVSS 9.8)

问题描述: RSLogix 500二进制文件使用硬编码的加密密钥保护账户密码。

影响:

  • 远程攻击者可识别加密密钥
  • 可用于后续密码攻击
  • 最终实现越权访问控制器

攻击路径:

  1. 识别硬编码加密密钥
  2. 对加密密码进行解密或暴力破解
  3. 获取有效凭证后访问控制系统

2. CVE-2020-6984 (超危, CVSS 9.8)

问题描述: MicroLogix使用的密码保护加密函数存在缺陷,算法容易被破解。

影响:

  • 远程攻击者可破解加密算法
  • 入侵受保护的数据
  • 导致敏感信息泄露

技术细节:

  • 使用了被破解或有风险的加密算法
  • 加密实现存在缺陷,容易被逆向工程

3. CVE-2020-6988 (高危, CVSS 7.5)

问题描述: 认证绕过漏洞,控制器会响应已用过的密码值。

影响:

  • 未经认证的远程攻击者可绕过身份验证
  • 泄露敏感信息
  • 获取系统凭据

攻击过程:

  1. 攻击者向控制器发送特定请求
  2. 控制器返回之前使用过的密码值
  3. 攻击者利用这些值进行认证绕过

4. CVE-2020-6980 (中危)

问题描述: RSLogix 500以明文形式存储SMTP账户数据。

影响:

  • 本地攻击者可访问项目文件
  • 获取SMTP服务器认证数据
  • 可能导致邮件服务被滥用

受影响组件:

  • 项目文件中存储的SMTP配置信息
  • 包括用户名、密码等敏感数据

解决方案

官方修复方案

  1. MicroLogix 1400 Controllers Series B:

    • 升级至v21.002或更高版本
    • 启用加强的密码安全功能

  2. 其他受影响产品:

    • 目前Rockwell Automation尚未提供修复补丁
    • 建议采取缓解措施

缓解措施

  1. 网络隔离:

    • 将工业控制系统与办公网络隔离
    • 实施网络分段,限制访问权限
    • 使用防火墙规则控制对控制器的访问

  2. 访问控制:

    • 实施强密码策略
    • 定期更换密码
    • 限制远程访问权限

  3. 监控与审计:

    • 启用日志记录功能
    • 监控异常访问行为
    • 定期审计系统访问记录

  4. 数据保护:

    • 避免在项目文件中存储敏感信息
    • 对必须存储的凭证进行额外加密
    • 定期检查项目文件中的敏感数据

最佳实践建议

  1. 定期更新:

    • 关注厂商安全公告
    • 及时应用安全补丁

  2. 安全配置:

    • 禁用不必要的服务和功能
    • 配置最小权限原则

  3. 安全意识:

    • 对操作人员进行安全培训
    • 建立安全操作规范

  4. 应急响应:

    • 制定漏洞应急响应计划
    • 准备系统恢复方案

总结

这些漏洞对工业控制系统安全构成严重威胁,特别是两个超危漏洞可能导致系统完全被控制。建议用户立即评估系统受影响情况,按照上述建议采取防护措施,并密切关注厂商发布的更新信息。

Rockwell Automation PLC安全漏洞分析与防护指南 漏洞概述 美国Rockwell Automation公司的MicroLogix系列可编程逻辑控制器(PLC)和RSLogix 500软件被披露存在多个安全漏洞,由美国网络安全和基础设施安全局(CISA)发布公告。这些漏洞涉及敏感信息泄露和身份认证绕过等严重问题。 受影响产品及版本 MicroLogix 1400 Controllers Series B: v21.001及之前版本 Series A: 所有版本 MicroLogix 1100 Controllers : 所有版本 RSLogix 500 Software : v12.001及之前版本 漏洞详情 1. CVE-2020-6990 (超危, CVSS 9.8) 问题描述 : RSLogix 500二进制文件使用硬编码的加密密钥保护账户密码。 影响 : 远程攻击者可识别加密密钥 可用于后续密码攻击 最终实现越权访问控制器 攻击路径 : 识别硬编码加密密钥 对加密密码进行解密或暴力破解 获取有效凭证后访问控制系统 2. CVE-2020-6984 (超危, CVSS 9.8) 问题描述 : MicroLogix使用的密码保护加密函数存在缺陷,算法容易被破解。 影响 : 远程攻击者可破解加密算法 入侵受保护的数据 导致敏感信息泄露 技术细节 : 使用了被破解或有风险的加密算法 加密实现存在缺陷,容易被逆向工程 3. CVE-2020-6988 (高危, CVSS 7.5) 问题描述 : 认证绕过漏洞,控制器会响应已用过的密码值。 影响 : 未经认证的远程攻击者可绕过身份验证 泄露敏感信息 获取系统凭据 攻击过程 : 攻击者向控制器发送特定请求 控制器返回之前使用过的密码值 攻击者利用这些值进行认证绕过 4. CVE-2020-6980 (中危) 问题描述 : RSLogix 500以明文形式存储SMTP账户数据。 影响 : 本地攻击者可访问项目文件 获取SMTP服务器认证数据 可能导致邮件服务被滥用 受影响组件 : 项目文件中存储的SMTP配置信息 包括用户名、密码等敏感数据 解决方案 官方修复方案 MicroLogix 1400 Controllers Series B : 升级至v21.002或更高版本 启用加强的密码安全功能 其他受影响产品 : 目前Rockwell Automation尚未提供修复补丁 建议采取缓解措施 缓解措施 网络隔离 : 将工业控制系统与办公网络隔离 实施网络分段,限制访问权限 使用防火墙规则控制对控制器的访问 访问控制 : 实施强密码策略 定期更换密码 限制远程访问权限 监控与审计 : 启用日志记录功能 监控异常访问行为 定期审计系统访问记录 数据保护 : 避免在项目文件中存储敏感信息 对必须存储的凭证进行额外加密 定期检查项目文件中的敏感数据 最佳实践建议 定期更新 : 关注厂商安全公告 及时应用安全补丁 安全配置 : 禁用不必要的服务和功能 配置最小权限原则 安全意识 : 对操作人员进行安全培训 建立安全操作规范 应急响应 : 制定漏洞应急响应计划 准备系统恢复方案 总结 这些漏洞对工业控制系统安全构成严重威胁,特别是两个超危漏洞可能导致系统完全被控制。建议用户立即评估系统受影响情况,按照上述建议采取防护措施,并密切关注厂商发布的更新信息。