Rockwell未修補的重大漏洞遭鎖定，伊朗駭客CyberAv3ngers用於攻擊可程式化邏輯控制器

弱點管理解決方案公司Tenable指出，這些駭客在最新一波攻擊行動裡，使用已知漏洞CVE-2021-22681滲透Rockwell的PLC裝置，此為憑證保護不夠周延造成的弱點（CWE-522），CISA將其CVSS風險評為滿分10分，非常危險，影響Rockwell旗下多種系統與設備，包括PLC管理軟體RSLogix 5000與Studio 5000 Logix Designer，以及CompactLogix、ControlLogix、GuardLogix、DriveLogix、SoftLogix等控制器設備。CISA於今年3月5日將CVE-2021-22681加入已遭利用的漏洞名冊（KEV），時間點相當吻合。

值得留意的是，駭客鎖定此漏洞的原因，很有可能就是Rockwell並未發布修補程式。Tenable提及，Rockwell在公告裡強調，CVE-2021-22681無法直接透過安裝修補程式解決，取而代之的是，Rockwell呼籲用戶應導入國防等級的縱深防禦措施，例如：網路分段、工程用工作站電腦隔離，以及實作關鍵基礎設施防護（Critical Infrastructure Protection，CIP）安全防護機制等。換言之，若是企業組織缺乏相關的資安管控機制，這樣的弱點將會持續存在。

Tenable指出，CyberAv3ngers偏好小型公用供水基礎設施、市政設施與鄉村能源營運商，原因是這些公司通常會使用TeamViewer或AnyDesk等遠端管理工具管理OT環境，或是直接開放PLC的管理介面能直接透過網際網路存取，這些作法完全無法受到企業IT資安控管，形成一般資安防護難以察覺的攻擊面。

再者，這些公司也往往對於IT與OT環境的網路分段不足，以及缺乏專精OT領域的資安人員，再加上資安防護的預算不足，使得相關的問題更加嚴重。

這些駭客攻擊關鍵基礎設施已有前例，他們曾在2023年鎖定以色列廠牌Unitronics的PLC裝置，對超過70個美國水利設施發動攻擊。值得注意的是，CyberAv3ngers的能力也越來越強大，他們2024年中旬開始使用自製的工控惡意軟體Iocontrol，同年10月開始濫用ChatGPT等AI工具加速偵察與程式碼除錯的速度，再加上近期美伊戰爭仍在持續進行，這種針對以色列或美國產製的工控設備，在美國從事攻擊行動的情況，將會越來越頻繁。