Обнаружено 15 уязвимостей в программном обеспечении промышленных систем управления Codesys, которые могут быть использованы для остановки электростанций или кражи информации из критически важных инфраструктурных систем.
В отчете на GitHub специалист по угрозам корпорации Microsoft утверждает, что недостатки в Codesys V3 SDK были раскрыты немецкому производителю в сентябре 2022 года, но затем устранены .
Широко используемый в промышленности SDK предоставляет среду для настройки и тестирования программируемых контроллеров логики (PLC). Устройства становятся уязвимы к атакам из-за встроенного кода Codesys.
Хотя исследование касалось оборудования от Schneider Electric и Wago, Codesys V3 доступен для около 1000 типов устройств от более чем 500 производителей, что составляет “несколько миллионов устройств”.
15 уязвимостей получили оценку серьезности от 7,5 до 8,8 из 10. Эксплуатация требует возможности аутентификации и входа в систему.
Компания Microsoft предупредила: “Атака с отказом в обслуживании на устройство с уязвимой версией Codesys может позволить остановить электростанцию, создать ‘заднюю дверь’ в устройствах и позволить манипулировать операциями, заставить PLC работать необычным образом или украсть критически важную информацию.”
Тем, кто использует устройства с этим дефектным программным обеспечением, рекомендуется немедленное обновление для предотвращения возможных атак.