Rockwell Automation 1783-NATR: trzy luki (CVE-2025-7328/-7329/-7330), krytyczny wektor zdalny i aktualizacja do firmware 1.007

Wprowadzenie do problemu / definicja luki

CISA opublikowała doradztwo ICSA-25-294-01 dotyczące urządzeń Rockwell Automation 1783-NATR (router NAT dla sieci OT/ICS). W urządzeniu ujawniono trzy podatności: brak uwierzytelniania dla funkcji krytycznych (CWE-306), XSS (CWE-79) oraz CSRF (CWE-352). Co najmniej jedna z nich oceniona jest jako krytyczna (CVSS v4 ~9.9), a każdą można wywołać zdalnie przy niskiej złożoności ataku. Producent udostępnił poprawkę w firmware 1.007.

W skrócie

• Dotyczy: Rockwell 1783-NATR (router NAT 1:1 dla segmentów maszynowych).
• Luki: missing authentication, XSS, CSRF → możliwy przejęcie panelu admina, modyfikacja reguł NAT, DoS.
• Naprawa: aktualizacja do firmware 1.007 (i nowszych) + twardnienie konfiguracji.
• Status: doradztwo CISA ICSA-25-294-01 opublikowane 21.10.2025 w pakiecie 10 bieżących ICS Advisories.

Kontekst / historia / powiązania

Rockwell 1783-NATR to popularny, konfigurowalny router NAT (do 32 mapowań 1:1), używany do odseparowania podsieci maszynowych i ułatwienia integracji linii produkcyjnych. Zarządzanie odbywa się m.in. przez interfejs WWW — to właśnie ta powierzchnia ataku jest tu krytyczna. Wcześniej (wrzesień 2025) CISA publikowała inną notę dla 1783-NATR z problemem „third-party components”, ale obecne doradztwo dotyczy innego zestawu luk — uwierzytelniania i interfejsu WWW.

Analiza techniczna / szczegóły luki

Zakres i wektory:

• Missing authentication for critical function (CVE-2025-7328): brak weryfikacji tożsamości przy wywołaniu krytycznych akcji administracyjnych → możliwy zdalny takeover panelu, zmiana reguł NAT lub DoS.
• Cross-Site Scripting (CVE-2025-7329): podatność XSS w panelu WWW urządzenia, która pozwala wstrzyknąć skrypt i wykonać go w kontekście przeglądarki operatora/administratora. (Klasa luki potwierdzona w raportach branżowych o tym doradztwie).
• Cross-Site Request Forgery (CVE-2025-7330): brak tokenizacji/CSRF-protection umożliwia wymuszenie działań administracyjnych, jeżeli operator odwiedzi złośliwą stronę (przeglądarka wyśle autoryzowane żądania do panelu 1783-NATR).

Skutki połączone: kombinacja missing auth + XSS + CSRF tworzy realny, niskokosztowy łańcuch: phishing/drive-by → CSRF/XSS → zmiana haseł/reguł NAT → utrata łączności sterowników lub przekierowanie ruchu na nieprawidłowe hosty.

Zakres wersji: podatne są wydania ≤ 1.006; 1.007 zawiera poprawki.

Ocena ryzyka: CISA klasyfikuje sprawę jako wysokiego/ krytycznego ryzyka (CVSS v4 ~9.9, zdalnie wykorzystywalne, niska złożoność).

Praktyczne konsekwencje / ryzyko

W środowiskach OT konsekwencją modyfikacji reguł NAT może być:

• przerwa w produkcji (utrata łączności z PLC/HMI po zmianie trasowania),
• nieautoryzowane przełączenie endpointów (ruch do „złych” hostów),
• eskalacja do dalszych segmentów przy błędnej segmentacji.
  Udokumentowano, iż zmiany reguł lub DoS na 1783-NATR mogą skutkować zatrzymaniem komunikacji przez urządzenie.

Rekomendacje operacyjne / co zrobić teraz

1. Pilna aktualizacja firmware do 1.007 (lub nowszego) na wszystkich 1783-NATR. Zaplanuj okno serwisowe, zweryfikuj kompatybilność i kopię konfiguracji.
2. Odcięcie panelu WWW od sieci niezarządzanych: brak ekspozycji HTTP/HTTPS do IT/Internetu, dostęp tylko z jump-hostów/konsolet serwisowych w strefie zarządzania. (Zgodne z dobrymi praktykami CISA dla ICS).
3. WAF/Reverse-proxy lub ACL dla interfejsu: o ile interfejs WWW musi być dostępny, zastosuj listy dozwolonych adresów i autoryzację wieloskładnikową (MFA) na warstwie pośredniej.
4. Segregacja sieci i polityki routingu: ściśle egzekwuj separację między strefami (ISA/IEC-62443), a dla 1783-NATR wymuś minimalny zestaw reguł i monitoring zmian.
5. Twardnienie przeglądarek operatorów: zablokuj dostęp do domen niesłużbowych, włącz izolację kart, ogranicz JS, aby redukować wektor CSRF/XSS.
6. Monitoring i telemetria: loguj zdarzenia administracyjne 1783-NATR, wykrywaj anomalie (nagłe zmiany reguł, restart, wiele prób logowania).
7. Testy regresyjne po aktualizacji: sprawdź łączność PLC/HMI, poprawność mapowań 1:1, latencję i redundancję DLR.
8. Plan awaryjny: przygotuj procedurę roll-back oraz „golden config” na karcie SD na wypadek awarii po aktualizacji. (Urządzenie wspiera backup/restore przez SD).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• ICSA-25-252-09 (wrzesień 2025) dla 1783-NATR dotyczyła innej klasy problemu („third-party components”/potencjalna korupcja pamięci). Obecne ICSA-25-294-01 odnosi się do płaszczyzny zarządzania (WWW) i braku kontroli dostępu/anty-CSRF, co czyni ryzyko bardziej „atakowalne” z poziomu sieci użytkownika.

Podsumowanie / najważniejsze wnioski

• Jeżeli masz w OT Rockwell 1783-NATR ≤ 1.006, zaplanuj natychmiast upgrade do 1.007.
• Ogranicz i odseparuj panel WWW — większość dróg ataku przechodzi przez interfejs zarządzania.
• Traktuj urządzenia NAT w OT jako element krytyczny: ich kompromitacja wpływa na trasowanie całych komórek produkcyjnych.

Źródła / bibliografia

• CISA, ICSA-25-294-01: Rockwell Automation 1783-NATR, 21.10.2025 (CVSS v4 ~9.9; zestaw luk i opis ryzyka). (CISA)
• CISA, komunikat: „CISA Releases 10 Industrial Control Systems Advisories”, 21.10.2025 (potwierdza pakiet doradztw, w tym ICSA-25-294-01). (CISA)
• ISSSource, „Rockwell Fixes 1783-NATR Holes”, 21.10.2025 (trzy klasy podatności i zalecenie aktualizacji do 1.007). (ISSSource)
• CVE Details / Positive Technologies dbugs, CVE-2025-7328 (brak uwierzytelniania: skutki DoS/przejęcie/admin/NAT). (cvedetails.com)
• Rockwell Automation, karta produktu 1783-NATR (funkcje, konfiguracja WWW, SD-backup — kontekst techniczny). (Rockwell Automation)