Falla nello Stack di Rete RT-Automation

Proto: N011220.

Con la presente Yoroi intende informarla riguardo una vulnerabilità scoperta nello stack EtherNet/IP (ENIP) 499ES, implementazione EtherNet/IP di RT-Automation utilizzata in vari sistemi di controllo industriali. La vulnerabilità è nota con l’identificativo CVE-2020-25159.

A causa di lacune nella gestione della memoria di sistema durante il processamento dei pacchetti di rete, lo stack EtherNet permetterebbe ad un attaccante di rete di inviare pacchetti appositamente realizzati per causare disservizi o eseguire codice arbitrario sui dispositivi afflitti.

Il Vendor ha confermato la problematica per le versioni dello stack EtherNet/IP fino alla 2.28, rilasciata il 21 Novembre 2012. Lo stack EtherNet/IP (ENIP) 499ES può essere installato sui sistemi operativi come VxWorks, ARC MQX RTOS, Quadros  RTXC, Mentor Nucleus RTOS ed utilizzato dispositivi embedded in ambito ICS/SCADA, pertanto qualsiasi sistema utilizzi lo stack RT-Automation antecedente alla versione 2.28 è afflitto dalla falla.  

Considerata la potenziale criticità dei dispositivi afflitti e la bassa complessità tecnica per la conduzione di un eventuale attacco, Yoroi raccomanda di controllare se i propri dispositivi utilizzino lo stack vulnerabile e di verificare con i Vendor la disponibilità di aggiornamenti di sicurezza. Qualora non fossero disponibili si consiglia di minimizzare l’esposizione di rete per tutti i dispositivi afflitti ed assicurarsi che non siano raggiungibili da Internet. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index