Die Schwachstelle CVE-2021-22681 wurde im Februar 2021 offengelegt, als Rockwell Automation Gegenmaßnahmen ankündigte. Als meldende Stellen nannte der Hersteller die Soonchunhyang University in Südkorea, Kaspersky und Claroty. Claroty erklärte damals, das Problem bereits 2019 an Rockwell gemeldet zu haben.
Die Lücke geht auf einen unzureichend geschützten kryptografischen Schlüssel zurück. Sie ermöglicht es einem entfernten, nicht authentifizierten Angreifer, die Verifizierung zu umgehen und sich mit einer Zielsteuerung zu verbinden, indem er eine Engineering-Workstation nachahmt. In einer realen Industrieumgebung könnten Angreifer dadurch die Logik der speicherprogrammierbaren Steuerungen manipulieren, Fertigungsprozesse stören oder sogar physische Schäden an Geräten verursachen.
Rockwell aktualisierte sein ursprüngliches Advisory am Donnerstag, um auf die Ausnutzung von CVE-2021-22681 in freier Wildbahn hinzuweisen. Angaben zu den Angriffen selbst machte das Unternehmen nicht. SecurityWeek bat Rockwell um eine Stellungnahme.
Eine Suche über Shodan zeigt derzeit knapp 6.000 aus dem Internet erreichbare Rockwell-Geräte. Wie viele davon tatsächlich von CVE-2021-22681 betroffen sein könnten, ist unklar.
Bereits 2024 hatte Rockwell in einem Sicherheitshinweis dazu aufgerufen, ICS-Geräte nicht mit dem Internet zu verbinden. Eine der dort hervorgehobenen Schwachstellen war CVE-2021-22681 — ein Hinweis darauf, dass der Hersteller eine bösartige Ausnutzung nicht ausschloss.
2023 hatten Rockwell und CISA gewarnt, dass eine nicht näher benannte APT-Gruppe einen Exploit für eine andere Schwachstelle in Rockwell-Steuerungen (CVE-2023-3595) entwickelt hatte, mit der sich Störungen oder Zerstörungen herbeiführen ließen. Für tatsächliche Angriffe gab es damals jedoch keine Belege.
Derzeit ist CVE-2021-22681 die einzige Schwachstelle eines Rockwell-Produkts im KEV-Katalog der CISA.
