探索网络安全新技术
攀登黑客技术最高峰

罗克韦尔提醒关基或遭APT组织RCE漏洞利用攻击

罗克韦尔提醒关基或遭APT组织RCE漏洞利用攻击-威武网安

罗克韦尔自动化公司表示,与某未具名APT组织相关联的一个新的RCE利用可用于攻击未修复的 ControlLogix 通信模块中,而该模块常用于制造、电力、油气和液化天然气行业中。

罗克韦尔自动化公司与CISA联合分析了该利用,但尚未透露如何获得该利用。该公司在一份安全公告中指出,“罗克韦尔自动化公司与美国政府一期,分析了APT威胁者的一种新型利用能力,该能力影响某些通信模块。我们尚未看到利用该能力的情况,受害者的相关信息尚不清楚。”

该漏洞 (CVE-2023-3595) 是由界外读弱点引发的,可导致攻击者通过恶意构造的CIP消息获得远程代码执行能力或者触发拒绝服务状态。利用成功后,恶意人员还可操纵该模块的固件、擦除模块内存、修改流入或流出该模块的数据、设置持久性控制并可能影响所支持的工业进程。该公司提到,“安装易受攻击的模块后,这可导致破坏性操作,如对关键基础设施造成破坏等。”

罗克韦尔公司强烈建议为所有受影响产品(包括不受支持的产品)应用安全补丁,同时还提供了检测规则,帮助防御人员检测网络中的利用尝试。

CISA 发布安全公告,提醒罗克韦尔客户修复该严重的 RCE 漏洞,阻止潜在攻击。

Dragos 公司也分析了该 RCE 利用并提到,“利用前了解由 APT 所拥有的漏洞对于关键工业部门的主动性防御而言是一种罕见的机会。我们了解到未知 APT 阻止所有利用,尚未看到或发现任何在野利用。”该公司表示,CVE-2023-2595所获得的权限级别类似于俄罗斯威胁组织 XENOTIME 所利用的0day,后者利用 TRISIS(即 TRITON)破坏性恶意软件在2017年攻击施耐德电气公司的 Triconex ICS 设备。

罗克韦尔公司也提醒称,“之前的威胁行动者活动涉及工业系统,说明这些能力很有可能是为了攻击关键基础设施,该受害者可能包括国际客户。威胁活动可能会发生变化,使用受影响产品的客户如遭暴露,则可能面临严重风险。”

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《罗克韦尔提醒关基或遭APT组织RCE漏洞利用攻击》
文章链接:https://www.wevul.com/1952.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册