CVE-2021-22681

Rockwell Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-03-05

Официальное описание

Multiple Rockwell products contain an insufficient protected credentials vulnerability. Studio 5000 Logix Designer software may allow a key to be discovered. This key is used to verify Logix controllers are communicating with Rockwell Automation design software. If successfully exploited, this vulnerability could allow an unauthorized application to connect with Logix controllers. To leverage this vulnerability, an unauthorized user would require network access to the controller.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2021-22681 связана с использованием недостаточно защищенных учетных данных (секретного ключа) в программном обеспечении Studio 5000 Logix Designer и соответствующих контроллерах Logix.

Проблема заключается в том, что закрытый ключ, используемый для аутентификации связи между инженерным ПО и контроллером, может быть извлечен злоумышленником. Обладая этим ключом, неавторизованное приложение может имитировать легитимную рабочую станцию Studio 5000 и успешно пройти проверку подлинности на контроллере. Это позволяет атакующему изменять конфигурацию, загружать вредоносный код или останавливать технологические процессы при наличии сетевого доступа к контроллеру.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения и прошивок контроллеров до версий, в которых реализованы усиленные механизмы проверки цифровых подписей и защиты ключей.

  1. Обновление Studio 5000 Logix Designer: Необходимо обновить ПО до версии V33 или выше.

  2. Обновление прошивок (Firmware) контроллеров: Установите актуальные версии прошивок для соответствующих линеек:

  3. ControlLogix 5580
  4. CompactLogix 5380
  5. GuardLogix 5580

  6. Compact GuardLogix 5380

  7. Использование CIP Security: Внедрите протокол CIP Security для обеспечения целостности и конфиденциальности данных на уровне сетевого обмена. Это предотвратит возможность несанкционированного подключения даже при компрометации статических ключей старых версий.

Временные меры

Если немедленное обновление невозможно, необходимо применить компенсирующие меры контроля для снижения риска эксплуатации:

  1. Физическая защита переключателя режимов: Переведите физический переключатель на передней панели контроллера в режим Run. Это заблокирует возможность внесения изменений в логику и конфигурацию контроллера по сети.

  2. Сетевая сегментация: Изолируйте сети управления (ICS/OT) от корпоративной сети и интернета. Используйте межсетевые экраны для ограничения доступа к портам контроллеров (например, TCP 44818).

  3. Использование защищенных зон (Enclaves): Разместите инженерные рабочие станции в выделенном сегменте сети с доступом к контроллерам только через шлюзы безопасности или VPN с двухфакторной аутентификацией.

  4. Мониторинг трафика: Настройте системы обнаружения вторжений (IDS) на поиск аномальных подключений к контроллерам с неавторизованных IP-адресов или в нерабочее время.

  5. Проверка целостности проекта: Регулярно проверяйте журнал изменений в Studio 5000 и сравнивайте контрольные суммы текущего проекта в контроллере с эталонной копией.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей