0
0
Milhões de controladores lógicos programáveis usados em ambientes industriais em todo o mundo correm risco em razão de 15 vulnerabilidades no kit de desenvolvimento de software
Milhões de controladores lógicos programáveis (PLCs, na sigla em inglês) usados em ambientes industriais em todo o mundo correm risco em razão de 15 vulnerabilidades no kit de desenvolvimento de software (SDK) Codesys V3, que permitem a execução remota de código (RCE) e ataques de negação de serviço (DoS).
Mais de 500 fabricantes de dispositivos usam o SDK Codesys V3 para programação em mais de mil modelos de PLCs de acordo com o padrão IEC 61131-3, o que permite que os usuários desenvolvam sequências de automação personalizadas. O SDK também fornece uma interface de gerenciamento do Windows e um simulador que possibilita aos usuários testar a configuração e programação do PLC antes de implantá-lo na produção.
As quinze falhas no SDK Codesys V3 foram descobertas por pesquisadores da Microsoft, que as relataram à fabricante em setembro de 2022. A Codesys lançou atualizações de segurança para resolver os problemas identificados em abril deste ano.
Devido à natureza desses dispositivos, eles não são atualizados com frequência para corrigir problemas de segurança, então a equipe de segurança da Microsoft publicou um post detalhado para aumentar a conscientização sobre os riscos e ajudar o patch a acelerar.
A Microsoft examinou dois PLCs da Schnieder Electric e Wago que usam o Codesys V3 e descobriu 15 vulnerabilidades de alta gravidade, com escores de 7.5 e 8.8, respectivamente, no sistema de pontuação comum de vulnerabilidades (CVSS v3).
As falhas foram identificadas como: CVE-2022-47378, CVE-2022-47379, CVE-2022-47380, CVE-2022-47381, CVE-2022-47382, CVE-2022-47383, CVE-2022-47384, CVE-2022- 47385, CVE-2022-47386, CVE-2022-47387, CVE 2022-47388, CVE-2022-47389, CVE-2022-47390, CVE-2022-47392, CVE-2022-47393.
O principal problema está no mecanismo de decodificação de tags do SDK, especificamente o fato de que as tags são copiadas no buffer do dispositivo sem verificar seu tamanho, dando aos invasores uma oportunidade de estouro de buffer. Essas tags são portadoras de dados ou estruturas de dados que fornecem instruções cruciais para o funcionamento do PLC.
O problema de estouro de buffer não é isolado, pois a Microsoft o encontrou em 15 componentes do SDK Codesys V3, incluindo CMPTraceMgr, CMPapp, CMPDevice, CMPApp, CMPAppBP, CMPAppForce e CMPFileTransfer.
Embora as falhas exijam autenticação para serem exploradas, a Microsoft diz que esse requisito pode ser ignorado usando o CVE-2019-9013, outra falha que afeta o Codesys V3 que expõe as credenciais do usuário durante o transporte em formato de texto não criptografado, conforme demonstrado abaixo.
Em 12 dos 15 casos, os analistas da Microsoft conseguiram aproveitar a falha para obter a execução remota de código no PLC.
O comunicado de segurança da Codesys lista os seguintes produtos como afetados se executarem versões anteriores a 3.5.19.0, independentemente da configuração de hardware e sistema operacional:
• Controle Codesys RTE (SL)
• Codesys Control RTE (para Beckhoff CX) SL
• Codesys Control Win (SL)
• Kit de ferramentas do sistema de tempo de execução de controle Codesys
• Kit de ferramentas de tempo de execução Codesys Safety SIL2
• Segurança Codesys SIL2 PSP
• IHM Codesys (SL)
• Sistema de Desenvolvimento Codesys V3
• Tempo de execução de simulação do Codesys Development System V3
Além dos produtos acima, os seguintes produtos são afetados em versões anteriores à 4.8.0.0:
• Controle Codesys para BeagleBone SL
• Controle Codesys para emPC-A/iMX6 SL
• Controle Codesys para IOT2000 SL
• Controle Codesys para Linux SL
• Controle Codesys para PFC100 SL
• Controle Codesys para PFC200 SL
• Controle Codesys para PLCnext SL
• Controle Codesys para Raspberry Pi SL
• Controle Codesys para WAGO Touch Panels 600 SL
Os administradores são aconselhados a atualizar para o Codesys V3 v3.5.19.0 o mais rápido possível, enquanto a Microsoft também recomenda desconectar PLCs e outros dispositivos industriais críticos da internet.
FONTE: CISO ADVISOR