CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

[SCI] Mehrere Schwachstellen im Power Monitor 1000 von Rockwell Automation

Einführung

Vera Mens von Claroty Research – Team82 hat drei Schwachstellen mit kritischem Schweregrad gemeldet, deren Ausnutzung einem Angreifer ermöglichen könnte, Bearbeitungsvorgänge durchzuführen, Administratorbenutzer zu erstellen, einen Werksreset durchzuführen, beliebigen Code auszuführen oder einen Denial-of-Service-Zustand zu verursachen. [1]

Analyse

Die gefundenen kritischen Schwachstellen sind wie folgt [2]:

  • CVE-2024-12371 – Fehlende Authentifizierung für eine kritische Funktion (CWE-306): Es besteht eine Schwachstelle zur Geräteübernahme im Rockwell Automation Power Monitor 1000. Diese Schwachstelle ermöglicht die Konfiguration eines neuen Policy-Inhabers ohne Authentifizierung über die API. Der Policy-Inhaber ist der Benutzer mit den höchsten Berechtigungen, der Bearbeitungsvorgänge durchführen, Administratorbenutzer erstellen und Werksresets durchführen kann.
  • CVE-2024-12372 – Unsachgemäße Kontrolle der Codegenerierung (Code-Injection) (CWE-94): Es besteht eine Schwachstelle für Denial-of-Service und mögliche Remote-Code-Ausführung im Rockwell Automation Power Monitor 1000. Die Schwachstelle verursacht eine Beschädigung des Heap-Speichers, was die Systemintegrität beeinträchtigen und potenziell eine Remote-Code-Ausführung oder einen Denial-of-Service-Angriff ermöglichen kann.
  • CVE-2024-12373 – Kopieren eines Puffers ohne Überprüfung der Eingabegröße (Klassischer Pufferüberlauf) (CWE-94): Es besteht eine Denial-of-Service-Schwachstelle im Rockwell Automation Power Monitor 1000. Die Schwachstelle führt zu einem Pufferüberlauf, der potenziell einen Denial-of-Service-Zustand verursacht.

Die betroffene Produktreihe umfasst:

  • PM1k 1408-BC3A-485: Versionen vor 4.020;
  • PM1k 1408-BC3A-ENT: Versionen vor 4.020;
  • PM1k 1408-TS3A-485: Versionen vor 4.020;
  • PM1k 1408-TS3A-ENT: Versionen vor 4.020;
  • PM1k 1408-EM3A-485: Versionen vor 4.020;
  • PM1k 1408-EM3A-ENT: Versionen vor 4.020;
  • PM1k 1408-TR1A-485: Versionen vor 4.020;
  • PM1k 1408-TR2A-485: Versionen vor 4.020;
  • PM1k 1408-EM1A-485: Versionen vor 4.020;
  • PM1k 1408-EM2A-485: Versionen vor 4.020;
  • PM1k 1408-TR1A-ENT: Versionen vor 4.020;
  • PM1k 1408-TR2A-ENT: Versionen vor 4.020;
  • PM1k 1408-EM1A-ENT: Versionen vor 4.020;

Empfehlungen

Rockwell Automation hat die gemeldeten Schwachstellen in der Firmware-Version 4.020 behoben und empfiehlt den Benutzern, auf die neueste verfügbare Version zu aktualisieren.

Referenzen

[1] ICSA-24-352-03: Rockwell Automation PowerMonitor 1000 Remote

[2] SD1714: PowerMonitor 1000 Remote Code Execution and Denial-of-Service Vulnerabilities via HTTP protocol