Rockwell Automation: krytyczna luka CVE-2021-22681 (CVSS 10/9.8) znów na radarze — potwierdzona eksploatacja w atakach na ICS/OT

Wprowadzenie do problemu / definicja luki

CVE-2021-22681 to krytyczna podatność w ekosystemie Rockwell Automation Logix (m.in. Studio 5000 Logix Designer / RSLogix 5000 oraz liczne rodziny kontrolerów Logix), która umożliwia zdalne, nieautoryzowane nawiązanie komunikacji z PLC poprzez obejście mechanizmu weryfikacji. W marcu 2026 r. temat wrócił z dużą siłą, bo Rockwell zaktualizował advisory o status KEV (Known Exploited Vulnerability), a media branżowe poinformowały o wykorzystaniu luki w realnych atakach.

W skrócie

• Identyfikator: CVE-2021-22681
• Mechanizm: możliwość pozyskania/wykorzystania klucza używanego do weryfikacji komunikacji i podszycia się pod stację inżynierską
• Skutek: nieautoryzowane połączenie z kontrolerem i potencjalna modyfikacja konfiguracji oraz logiki PLC
• Status 2026: advisory Rockwell zaktualizowany 5 marca 2026 o KEV (czyli sygnał „priorytet najwyższy”)
• Horyzont działań (wg doniesień o KEV): instytucje federalne USA dostały termin do 26 marca 2026 na wdrożenie działań zaradczych

Kontekst / historia / powiązania

Podatność była znana od 2021 r. i była raportowana niezależnie m.in. przez Claroty (Team82), Kaspersky ICS CERT oraz zespół z Soonchunhyang University.
Claroty podkreślało już w 2021 r., iż przejęcie „sekretnego” klucza pozwala atakującemu uwierzytelniać się do niemal dowolnego kontrolera Logix i wykonywać operacje typowe dla legalnej stacji inżynierskiej (upload/download logiki, zmiany konfiguracji, a choćby operacje na firmware – zależnie od scenariusza).

W marcu 2026 r. Rockwell dopisał do swojego advisory, iż luka ma status KEV: Yes (czyli istnieją dowody wykorzystania „in the wild”).

Analiza techniczna / szczegóły luki

Sedno problemu to niewystarczająco chroniony sekret/kryptograficzny klucz używany do weryfikacji, czy kontroler Logix komunikuje się z zaufanym oprogramowaniem inżynierskim. jeżeli atakujący zdoła pozyskać ten klucz lub odtworzyć mechanizm weryfikacji, może:

1. ominąć weryfikację i zestawić połączenie jako „zaufany” komponent,
2. podszyć się pod engineering workstation,
3. wykonywać operacje prowadzące do zmiany konfiguracji i/lub kodu aplikacyjnego w PLC.

Rockwell opisuje to wprost jako authentication bypass / private key extraction z krytyczną oceną (w advisory: CVSS v3.1 10.0, we wpisie NVD: 9.8). Różnica w punktacji wynika z różnych ocen wektorów/zakresu (m.in. „Scope” i sposób interpretacji wpływu), ale praktycznie w OT to przez cały czas klasa „natychmiastowe działanie”.

Warunek wstępny, który często jest mylący dla biznesu: atakujący „tylko” potrzebuje dostępu sieciowego do kontrolera. W realnych architekturach OT to może oznaczać: błędną segmentację IT/OT, wystawienie usług na Internet, niekontrolowany zdalny dostęp, albo lateral movement po przełamaniu sieci korporacyjnej.

Praktyczne konsekwencje / ryzyko

W środowisku przemysłowym skutki są dużo poważniejsze niż „tylko” incydent IT:

• manipulacja logiką PLC → błędne sterowanie procesem, spadek jakości, przestoje;
• zmiany konfiguracji → trwałe rozstrojenie linii/gniazd, nieplanowane wyłączenia, ryzyko awarii urządzeń;
• potencjalne uszkodzenia fizyczne (w zależności od procesu i zabezpieczeń), co SecurityWeek wskazuje jako realny scenariusz oddziaływania.

Dodatkowo, nagłośnienie KEV zwykle zwiększa skanowanie i próby nadużyć w Internecie. SecurityWeek przytacza obserwację o tysiącach urządzeń Rockwell widocznych z Internetu (sam fakt ekspozycji nie przesądza podatności, ale podbija ryzyko).

Rekomendacje operacyjne / co zrobić teraz

Ponieważ Rockwell wprost zaznacza, iż nie ma klasycznej poprawki „łatką” i rekomenduje mitigacje, podejście powinno być „defense-in-depth + ograniczenie ścieżek ataku”.

1) Natychmiast: ogranicz łączność do kontrolerów

• Zweryfikuj, czy żaden kontroler/segment OT nie jest dostępny z Internetu (bez wyjątków).
• Wdróż/zaostrz reguły na granicy stref: ogranicz/blokuj ruch na TCP 44818 (EtherNet/IP) spoza strefy ICS. Rockwell wskazuje to jako najważniejszy element redukcji ekspozycji.

2) Segmentacja i zdalny dostęp

• Uporządkuj segmentację (strefy i konduity) oraz kontrolę dostępu do strefy PLC/Engineering.
• Jeżeli musisz mieć zdalny dostęp: tylko przez kontrolowane kanały (VPN/jump host), z twardym MFA i monitoringiem — Rockwell podkreśla, iż VPN też wymaga utrzymania bezpieczeństwa i aktualizacji.

3) Mitigacje specyficzne dla Logix

Rockwell rekomenduje m.in. (zależnie od rodziny i wersji):

• ustawienie przełącznika trybu kontrolera na „Run”, co ma ograniczać nieautoryzowane zmiany;
• wdrożenie CIP Security (TLS/DTLS w EtherNet/IP) tam, gdzie sprzęt wspiera, lub użycie 1783-CSP CIP Security Proxy dla urządzeń bez natywnego CIP Security.

4) Detekcja i monitoring zmian

Rockwell sugeruje praktyki wykrywania manipulacji:

• monitoring controller change log,
• funkcje typu Controller Log / Change Detection w Logix Designer,
• narzędzia klasy FactoryTalk AssetCentre do wykrywania zmian.

5) Priorytetyzacja podatności (OT reality check)

Jeśli masz duży park OT i ograniczone okna serwisowe, traktuj KEV jako „P0”: najpierw systemy krytyczne i te z największą ekspozycją (zdalny dostęp, połączenia z IT, integracje z vendorami, duża liczba ścieżek routingu).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Typowy IT RCE często kończy się przejęciem serwera; tutaj stawką jest sterowanie procesem fizycznym i integralność logiki PLC.
• Wiele incydentów OT zaczyna się w IT (phishing/ransomware), a potem przechodzi w OT przez słabą segmentację. CVE-2021-22681 jest groźna, bo po uzyskaniu drogi sieciowej do kontrolera umożliwia „udawanie” legalnego narzędzia inżynierskiego.

Podsumowanie / najważniejsze wnioski

• CVE-2021-22681 to jedna z najpoważniejszych klas podatności w OT: bypass uwierzytelnienia umożliwiający ingerencję w PLC.
• Marzec 2026 przyniósł sygnał „alarmowy”: KEV + doniesienia o wykorzystaniu w atakach.
• Skuteczna reakcja to głównie: odcięcie ekspozycji, segmentacja, kontrola zdalnego dostępu, CIP Security/proxy oraz monitoring zmian — bo w wielu przypadkach nie ma prostego „patch Tuesday” dla tego problemu.

Źródła / bibliografia

1. SecurityWeek — informacja o eksploatacji w atakach i kontekście KEV (06.03.2026). (SecurityWeek)
2. Rockwell Automation Advisory PN1550 — opis luki, produkty, mitigacje, aktualizacja o KEV (Last Updated: 05.03.2026). (rockwellautomation.com)
3. Claroty (Team82) — techniczne omówienie mechanizmu klucza i wpływu na PLC (25.02.2021). (Claroty)
4. Kaspersky ICS CERT — advisory KLCERT-17-029 (02.03.2021; aktualizacje timeline). (ics-cert.kaspersky.com)
5. NVD (NIST) — wpis CVE i lista referencji (03.03.2021). (nvd.nist.gov)
6. The Hacker News — kontekst KEV i lista podatności dodanych do katalogu (06.03.2026). (The Hacker News)