Компания Microsoft в своём новом отчёте от 10 августа 2023 года заявила о выявлении критических уязвимостей в CODESYS, которые могут привести к отключению электростанций.
Соответствующие критические ошибки были выявлены в пакете разработки программного обеспечения CODESYS (SDK), который активно применяется в энергетической и производственной отраслях для программирования и проектирования программируемых логических контроллеров в системах промышленных операционных технологий. В отчёте указывается, что все версии CODESYS V3 SDK до 3.5.19.0 подвержены 15 уязвимостям, перечисленным в новом сообщении в блоге Microsoft.
Команда корпорации Microsoft по исследованию киберфизических систем отмечает, что эксплуатация выявленных уязвимостей подвергает критически важные инфраструктурные объекты риску кибератак. Среди них наиболее опасны атаки, связанные с удалённым выполнением кода (RCE) и отказом в обслуживании (DoS). Эти атаки на устройства с используемыми уязвимыми версиями CODESYS, в теории, могут позволить злоумышленникам отключить электростанцию.
Помимо этого, хакеры будут иметь возможность вмешиваться в операции, заставляя программируемые логические контроллеры (ПЛК) работать нестандартным образом или красть конфиденциальные данные, развёртывая бэкдор через RCE.
В Microsoft уточняют, что эксплуатация этих уязвимостей достаточно сложна, потому что киберпреступникам потребуется аутентификация пользователя с наличием глубоких знаний проприетарного протокола CODESYS V3 и структуры различных служб, которые используют этот протокол.
Microsoft также подчеркивает, что это далеко не первый случай выявления уязвимости в программном обеспечении для автоматизации CODESYS. В частности, в 2022 году китайская компания по информационной безопасности NSFOCUS выявила 11 критических уязвимостей безопасности в CODESYS.
