Lekken in CODESYS V3-SDK maken OT kwetsbaar
Microsoft waarschuwt voor diverse ernstige kwetsbaarheden in de CODESYS V3 software development kit (SDK). De SDK wordt breed gebruikt voor het ontwikkelen van programmable logic controllers (PLC's). De kwetsbaarheid kan de veiligheid van operationele technologie (OT) in gevaar brengen, waarschuwt het Amerikaanse techbedrijf.
In een blogpost wijst Microsoft op de kwetsbaarheden. Het bedrijf waarschuwt dat de kwetsbaarheden onder meer remote code executivion (RCE) en denial of service (DoS)-aanvallen mogelijk maken.
CODESYS is compatible met naar schatting zo'n 1.000 verschillende soorten apparaten van 500 fabrikanten. Miljoenen apparaten maken gebruik van de oplossing voor het implementeren van de industrie standaard IEC 611131-3.
Volledige energiecentrale platleggen
Het uitvoeren van een DoS-aanval op een kwetsbare versie van CODESYS kan verregaande gevolgen hebben, en maakt het onder meer een volledige energiecentrale plat te leggen. Via remote code execution kunnen aanvallers een backdoor creëren op apparaten en de werking van OT manipuleren. Ook kunnen kwaadwillenden de manier waarop een PLC opereert aanpassen en kritieke informatie stelen.
Wie de ontdekte kwetsbaarheden in CODESYS wil uitbuiten moet hiervoor wel over inloggegevens beschikken. Ook hebben aanvallers diepgaande kennis nodig van het CODESYS V3-protocol en de structuur van de verschillende diensten die het protocol gebruiken.
De kwetsbaarheden zijn in september 2022 door Microsoft aan CODESYS gemeld. De partijen hebben sindsdien nauw samengewerkt aan het verhelpen van de problemen. Meer informatie over de kwetsbaarheden is hier beschikbaar.