cve-2021-22681 - RunkIntel

# CVE-2021-22681 - Bypass de Autenticação em Controladores Rockwell Logix > [!critical] CVSS 10.0 - CISA KEV - Infraestrutura Crítica > Bypass completo de autenticação nos controladores Logix da Rockwell Automation permite que atacantes não autenticados assumam controle remoto de sistemas industriais. CVSS máximo (10.0). Exploração ativa confirmada pelo CISA. ## Visão Geral A CVE-2021-22681 é uma vulnerabilidade crítica de bypass de autenticação que afeta os controladores Logix da Rockwell Automation, amplamente utilizados em sistemas de controle industrial (ICS/OT) em setores como energia, manufatura, água e infraestrutura crítica. A falha reside no protocolo EtherNet/IP e no mecanismo de autenticação do software Studio 5000 Logix Designer: um atacante consegue capturar e falsificar a chave criptográfica utilizada na comunicação entre engenheiro e controlador, obtendo acesso remoto total sem credenciais. O impacto potencial é severo — um invasor com acesso à rede OT pode reprogramar os controladores, modificar lógica de controle, parar processos críticos ou induzir falhas físicas em equipamentos industriais. O NIST atribuiu CVSS 10.0, refletindo o escopo máximo de comprometimento: confidencialidade, integridade e disponibilidade totalmente afetadas, sem necessidade de autenticação e com escopo estendido para além do componente vulnerável. A inclusão no catálogo CISA Known Exploited Vulnerabilities (KEV) em março de 2022 confirmou exploração ativa em ambientes reais. O ICS-CERT e a própria Rockwell Automation emitiram alertas de segurança recomendando ação imediata. A vulnerabilidade tem relevância direta para o Brasil, onde setores de energia elétrica, petróleo e manufatura dependem amplamente de controladores Logix. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|---------------------|-----------------| | Studio 5000 Logix Designer | < v32 | v32 e superiores | | ControlLogix 5580 | Firmware < v32.011 | v32.011+ | | CompactLogix 5480 | Firmware < v32.011 | v32.011+ | | GuardLogix 5580 | Firmware < v32.011 | v32.011+ | | CompactGuardLogix 5380 | Firmware < v32.011 | v32.011+ | | Logix controllers (geral) | Versões anteriores a v32 | Atualizar para v32+ | ## Detalhes Técnicos A falha está no processo de handshake do protocolo EtherNet/IP entre o Studio 5000 Logix Designer e os controladores. O protocolo usa uma chave de sessão para autenticar sessões de engenharia — mas essa chave pode ser capturada via sniffing de rede e reutilizada (ataque de replay ou forging). Não há derivação de chave segura por sessão. Um atacante posicionado na rede OT (ou que consiga acesso inicial via IT→OT) pode: 1. Capturar o tráfego EtherNet/IP entre engenheiro legítimo e controlador 2. Extrair ou reutilizar a chave de autenticação 3. Forjar uma sessão autenticada sem credenciais 4. Enviar comandos ao controlador como se fosse o engenheiro ``` graph TB A["Atacante na rede OT"] --> B["Captura tráfego EtherNet/IP via sniffing passivo"] B --> C["Extrai chave criptográfica da sessão legítima"] C --> D["Forja sessão autenticada sem credenciais"] D --> E["Acesso total ao controlador Logix - RCE/reprogramação"] E --> F["Impacto físico: parada de processo, dano a equipamentos"] ``` ## Mitigação **Ação imediata:** - Atualizar Studio 5000 Logix Designer para versão 32 ou superior - Atualizar firmware de todos os controladores Logix afetados para v32.011+ **Controles compensatórios (se patch não for imediato):** - Implementar [[m1030-network-segmentation|segmentação de rede]] rigorosa entre redes IT e OT - Restringir acesso à rede OT via [[m1035-limit-access-to-resource-over-network|controle de acesso a recursos de rede]] - Implementar monitoramento de tráfego EtherNet/IP para detectar sessões anômalas - Desabilitar conexões remotas ao controlador quando não necessário - Utilizar firewall industrial (ex: Dragos, Claroty, Nozomi Networks) para inspeção de tráfego OT - Aplicar [[m1031-network-intrusion-prevention|prevenção de intrusão em rede]] no segmento OT **Detecção:** - Monitorar conexões EtherNet/IP inesperadas para controladores Logix - Alertar em mudanças de lógica de controle fora de janelas de manutenção programadas - Usar soluções de visibilidade OT (Dragos, Claroty, Nozomi) para detecção de anomalias ## Contexto LATAM > [!latam] Impacto no Brasil e América Latina > O Brasil possui uma das maiores bases instaladas de controladores Rockwell Automation na América Latina, concentrada nos setores de energia elétrica (geração e transmissão), petróleo e gás (refinarias Petrobras), mineração (Vale, Samarco), manufatura automotiva (polo de São Paulo/Paraná) e tratamento de água. Grupos como **Dragonfly/Energetic Bear** e **Sandworm** têm histórico de atacar infraestrutura crítica com foco em sistemas ICS/OT. A segmentação deficiente de redes IT/OT, comum em plantas industriais brasileiras mais antigas, torna o acesso inicial ao segmento OT relativamente acessível. CERT.br e CTIR Gov recomendaram a aplicação urgente das atualizações da Rockwell em 2022. Toda organização brasileira com Logix Controllers deve verificar se os patches foram aplicados. ## Referências - [NVD - CVE-2021-22681](https://nvd.nist.gov/vuln/detail/CVE-2021-22681) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [ICS-CERT Advisory ICSA-21-028-01](https://www.cisa.gov/uscert/ics/advisories/icsa-21-028-01) - [Rockwell Automation Security Advisory](https://rockwellautomation.com/en-us/trust-center/security-advisories.html) ## Notas Relacionadas - [[g0035-dragonfly|Dragonfly / Energetic Bear]] - grupo com histórico de ataques a ICS/OT em energia - [[g0034-sandworm|Sandworm]] - ataques destrutivos a infraestrutura crítica ucraniana e global - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] - [[m1030-network-segmentation|M1030 - Network Segmentation]] - [[m1035-limit-access-to-resource-over-network|M1035 - Limit Access to Resource Over Network]] - [[critical-infrastructure|Setor - Infraestrutura Crítica]] - [[energy|Setor - Energia]] - [[manufacturing|Setor - Manufatura]]