10 Critical Flaws Found in CODESYS Industrial Automation Software
2021/06/04 TheHackerNews — 木曜日のこと、サイバー・セキュリティの研究者たちが、オートメーション・ソフトウェア CODESYS に存在する 10件もの深刻な脆弱性を公開した。この脆弱性の悪用により、Programmable Logic Controllers (PLC) 上でリモート・コードが実行される可能性が生じる。
Positive Technologies の研究者たちは、「攻撃者たちは、産業用コントローラへのネットワーク・アクセスがあれば十分であり、ユーザー名やパスワードを必要とせずに、一連の脆弱性を悪用することが可能だ。脆弱性の主な原因は、入力データの検証が不十分な点にあり、また、セキュアな開発に関する推奨事項に準拠していないことに原因がある」と述べている。
ロシアのサイバー・セキュリティ企業の指摘によると、コントローラのプログラミングやコンフィグレーションに CODESYS ソフトウェアを使用している Beckhoff / Kontron / Moeller / Festo / Mitsubishi / HollySys などの自動化企業の中で、WAGO が提供する PLC で脆弱性が検出されたようだ。CODESYS は、産業用制御システムで使用されるコントローラ・アプリケーションを、プログラミングするための開発環境を提供している。
最も深刻な 6件の脆弱性は、CODESYS WebVisu が Web ブラウザ上で HMI を可視化するために使用する、CODESYS V2.3 の Webサーバー・コンポーネントで確認されているそうです。これらの脆弱性は、特別に細工した Web サーバー・リクエストの送信によるサービス拒否状態や、制御ランタイム・システムのメモリでの任意コードの Read/Write や、CODESYS Web サーバーのクラッシュなどを引き起こす可能性があるとされています。
IoT OT Security News 